Toekomstgerichte studie over de potentiële economische … · 4.2.3 e-commerce in België 60 4.3...

Toekomstgerichte studie over de potentiële economische mogelijkheden van het gebruik

van de elektronische identiteitskaart en de elektronische handtekening

het gebruskaart en andtekeni

het gebrkaart enndteken

Stud

ie

Toekomstgerichte studie over de potentiële economische mogelijkheden van het gebruik van de elektronische

identiteitskaart en de elektronische handtekening

Redactie studie: juni 2008

2

Federale Overheidsdienst Economie, K.M.O., Middenstand en EnergieVooruitgangstraat 50B - 1210 BRUSSELOndernemingsnr.: 0314.595.348http://economie.fgov.be

tel. 02 277 51 11

Vanuit het buitenland:tel. + 32 2 277 51 11

Verantwoordelijke uitgever: Lambert VERJUS Voorzitter van het Directiecomité Vooruitgangstraat 50 1210 BRUSSEL

Wettelijk depot: D/2008/2295/85

0506-08

U vindt deze studie:

• http://economie.fgov.be > economische informatie > studies• Infoshop FOD Economie Vooruitgangstraat 48 B- 1210 Brussel Tel: 02 277 55 76 Open alle werkdagen van 9.00 tot 17.00 uur• Bibliotheek Queteletfonds City Atrium - 2de verdieping Vooruitgangstraat 50 B-1210 Brussel Tel: 02 277 55 55 Fax: 02 277 55 53 Open alle werkdagen van 8.30 tot 16.30 uur E-mail : [email protected]

Overname van gegevens voor verwerking in andere studies is toegestaan, mits duidelijke en volledige bronvermelding. De inhoud van deze studie geeft enkel de mening van de auteurs weer en niet die van de FOD Economie, K.M.O., Middenstand en Energie.

http://economie.fgov.be

mailto:[email protected]


3

“De voorwaarden scheppen voor een competitieve, duurzame en evenwichtige werking

van de goederen- en dienstenmarkt in België.”

Inhoudstabel

Management Summary 6 Inleiding 7 Methodologie 8 Geconsulteerde bronnen en informatie 10 1 Algemene context van de eID 11

1.1 De eID kaart 11 1.2 De functionaliteiten van de eID kaart 13 1.3 Rol van de verschillende betrokken FODs 16

2 Juridische context van de eID 18 2.1 Wetgevend kader rond de elektronische identiteitskaart 18 2.2 Privacy 19

2.2.1 Wetgevend kader 19 2.2.2 Verwerken van identiteitsgegevens (behalve het rijksregisternummer) 19 2.2.3 Rechtstreekse toegang of informatie uit het Rijksregister 20 2.2.4 Gebruik van het rijksregisternummer 20

2.3 Rechten als burger 23 2.4 Vreemdelingenkaart 23 2.5 Kids-ID 24 2.6 Toekomstige oplossingen voor bescherming van de privacy 25 2.7 De elektronische handtekening 26

2.7.1 Kader en juridische waarde van de handtekening 26 2.7.2 Elektronische archivering en tijdsregistratie 27

2.8 Identiteitsfraude 33 2.9 Conclusies over de juridische context van de eID 34

3 Technische context van de eID 35 3.1 Demystificatie van de eID 35

3.1.1 Technische aspecten van de eID 35 3.1.2 Technische aspecten van het gebruik van de eID 40

3.2 Technische problemen van de eID 46 3.3 Technologische mogelijkheden voor volgende generatie kaarten 49 3.4 Conclusies over de technische context van de eID 54

4 Economische context van de eID 55 4.1 Economisch kader 55 4.2 e-commerce 57

4.2.1 Algemeen kader van e-commerce 57 4.2.2 e-commerce in Europa 59 4.2.3 e-commerce in België 60

4.3 Drijfveren voor bedrijven voor het gebruik van de eID 65 4.4 Opportuniteiten en belemmeringen voor gebruik van de eID volgens de business

modellen 66 4.5 Conclusies over de economische context van de eID 73

5 Psychologische context van de eID 74 5.1 Bevraging van gebruikers 74 5.2 Contacten met consumentenorganisaties 76

4

5.3 Enquête bij Nederlandstalige ondernemers 76 5.3.1 Resultaten enquête 77 5.3.2 Resultaten discussies met ondernemers 86

5.4 Enquête bij Franstalige ondernemers 88 5.4.1 Resultaten enquête 89 5.4.2 Conclusies vergelijking Franstalige en Nederlandstalige enquête 98

5.5 Enquête en discussieforum bij jongeren (Internet) 99 5.6 Conclusies over de psychologische context van de eID 102

6 Internationale context van de eID 105 6.1 Inleiding 105 6.2 Bespreking van ontwikkelingen op vlak van eID in enkele landen 106

6.2.1 Estland 107 6.2.2 Oostenrijk 107 6.2.3 Finland 108 6.2.4 Italië 108 6.2.5 Zweden 108 6.2.6 Spanje 109 6.2.7 Portugal 109 6.2.8 Singapore 109 6.2.9 Nederland 110 6.2.10 Frankrijk 110 6.2.11 Duitsland 110 6.2.12 Verenigd Koninkrijk 111

6.3 Vergelijkende tabel 112 7 Analyse van eID-toepassingen 113

7.1 Categorisering van eID-toepassingen 113 7.2 Analyse van bestaande eID-toepassingen 115

7.2.1 Componenten 115 7.2.2 Kant-en-klare applicaties 116 7.2.3 Maatwerk 126

7.3 Suggesties voor toekomstige eID-toepassingen 128 7.4 Conclusies eID-toepassingen 130

8 Case studies 131 8.1 Case study Christelijke Mutualiteit 132 8.2 Case study Autodelen 133 8.3 Case study Ethias 134 8.4 Case study iDTV 136 8.5 Case study eBay 137 8.6 Case study e-portemonnee 139 8.7 Case study veilige chatruimtes met eID 142 8.8 Case study Certipost 144 8.9 Case study Isabel 146 8.10 Case study REAL-kaart 148 8.11 Conclusies case studies 150

9 Wetenschappelijk onderzoek betreffende de eID 151 9.1 Onderzoek in universiteiten en onderzoekscentra 151 9.2 Onderzoek in Hogescholen 153 9.3 Beschrijving van twee projecten: adapID en eIDea 155

10 Conclusies en aanbevelingen 159 10.1 Conclusies 159

10.2 Aanbevelingen 165

5



Bijlagen 167 Bijlage 1: Terminologie 168 Bijlage 2: Geconsulteerde bronnen 177 Bijlage 3: Lijsten gecontacteerde personen 179 Bijlage 4: Enkele belangrijke certificatieautoriteiten 184 Bijlage 5: Vragenlijst workshops ondernemers 186 Bijlage 6: Bespreking van enkele mobiele eID-toestellen 189 Bijlage 7: Fiches van eID-toepassingen 190

6

Management Summary

In 2003 werd de elektronische identiteitskaart in België geïntroduceerd. Het was één van de meest veelbelovende ontwikkelingen voor de stimulatie van e-government, en een voorbeeld voor andere landen. Toch kende de kaart niet zo’n succes als men had gehoopt: de toepassingen voor de eID kwamen maar traag op gang, de bevolking was niet echt bereid om de kaartlezer en bijhorende middelware te installeren, er doken allerhande problemen op met privacy, op technisch vlak stond de infrastructuur nog niet op punt en ook juridisch bleken er belangrijke hiaten te bestaan.

In het domein van e-government bestaan vandaag reeds enkele toepassingen. Maar de kaart, met haar functionaliteiten identificatie, authenticatie en elektronische handtekening, kan ook gebruikt worden in de private sector. Zowel grote bedrijven, KMO’s als particulieren kunnen voordelen halen uit deze nieuwe technologie, denk maar aan de mogelijkheid tot automatisering van processen, waardoor men sneller tewerk kan gaan, minder moet wachten, enz.

Er blijkt dus mogelijkheid tot grote bloei van applicaties die werken met de elektronische identiteitskaart. De vraag is waarom die bloei tot op heden uitbleef.

Wij deden een studie naar de inhibitoren en de stimulatoren voor het gebruik van de kaart. Zowel op psychologisch, economisch, technologisch en juridisch vlak gingen wij op zoek naar mogelijkheden en hinderpalen. Ook zochten wij naar reeds bestaande applicaties en gingen wij na waarom deze al dan niet succesvol zijn.

Onze voornaamste conclusies zijn dat een ondernemer de eID slechts in overweging zal nemen als er een positieve kosten-baten-analyse kan gemaakt worden en er een stabiele omgeving wordt aangeboden op juridisch en technisch vlak. Een eID-implementatie kan pas slagen als er niet te veel drempels zijn bij de eindgebruikers en als het gehele proces waarbinnen de eID wordt geïmplementeerd, wordt geoptimaliseerd.

Onze adviezen zijn gericht aan de overheid en pleiten voor een geïntegreerde aanpak van het eID-project.

Er moet een omkadering voorzien worden waarbij een communicatieplan essentieel is, met de nadruk op een positieve boodschap, die de mogelijkheden van de eID en de elektronische handtekening toelicht.

Er moet een duidelijk, volledig en stabiel juridisch kader komen, zodat ondernemers en burgers begrijpen wat er kan en niet kan.

Vervolgens dient er voldoende technische ondersteuning geboden te worden aan ondernemers om zo de overstap naar eID te vergemakkelijken: aangepaste middelware en een helpdesk zorgen ervoor dat ondernemers zich gesteund voelen bij het ontwikkelen van applicaties.

Uiteindelijk moet er een klimaat van vertrouwen geschapen worden. Enerzijds door een wel overwogen communicatiecampagne op punt te zetten en anderzijds door het in het daglicht plaatsen van positieve initiatieven. Zo kan een motiverende omgeving gecreëerd worden.

Als de burgers en bedrijven voelen dat zij baat hebben bij het gebruik de elektronische handtekening en/of de eID dan zullen zij gemotiveerd zijn om de kaart te gebruiken.

7



Inleiding

In september 2007 werd ons door de FOD Economie gevraagd om een studie te maken over de mogelijkheden van de elektronische identiteitskaart.

De titel van het onderzoek, “Een toekomstgerichte studie over de potentiële economische mogelijkheden van het gebruik van de elektronische identiteitskaart en de elektronische handtekening”, bevat talrijke aspecten.

Deze aspecten hebben zich vertaald in een zoektocht naar informatie over volgende kernelementen:

Wat houdt het concept ‘elektronische identiteitskaart’ in? Wat zijn de functionaliteiten? Wat is er nodig om effectief met de kaart te kunnen werken?

Wat is het juridisch kader? Is er voldoende bescherming van de privacy? Heeft een elektronische handtekening dezelfde juridische waarde als een geschreven handtekening? Wat is timestamping? Kunnen bedrijven de eID gebruiken? Wat is identiteitsfraude?

Wat zijn de technische kenmerken van de kaart? Wat zijn sleutels? Wat zijn certificaten? Wat is er nodig om de kaart te beveiligen?

Wat is het economisch kader? Wat zijn e-commerce en e-business? Wat zijn de drijfveren om de kaart al dan niet te gebruiken? Welke business modellen kunnen we onderscheiden?

Wat is de psychologische context? Hoe staan ondernemers tegenover het gebruik van de kaart? Is er een verschil tussen de houding van jongeren en volwassenen?

Wat zijn de ontwikkelingen op internationaal vlak?

Welke applicaties zijn er reeds op de markt? Hoe kunnen we die categoriseren? Zijn er bepaalde toepassingen die interessant zijn om uit te diepen in case studies?

Wat is er gepland voor volgende generaties van de eID? Wat is de visie en de strategie? Welk onderzoek doet men aan universiteiten?

Vooraleer de eigenlijke studie aan te vatten, hebben we met de leden van de stuurgroep (zie bijlage) een persoonlijk gesprek georganiseerd. Tijdens dit gesprek werd van gedachten gewisseld over het onderwerp van de studie en kregen we zicht op de problematiek vanuit de invalshoek van de betrokken persoon.

Deze gesprekken hebben geleid tot een aantal vaststellingen en een lijst van onderwerpen die aanleiding gegeven hebben tot verder onderzoek.

Scope van het onderzoek Het onderzoek beperkt zich tot de mogelijkheden van de eID buiten e-government. We hebben ons gericht op de bedrijfswereld maar ook op organisaties, verenigingen en vrije beroepen.

Het is zeker niet de bedoeling van deze studie om een academisch naslagwerk te maken noch om een exhaustieve lijst van eID-applicaties op te stellen. Het is een momentopname in een zoektocht naar inhibitoren en stimulatoren voor het gebruik van de eID om te komen tot praktische richtlijnen ter ondersteuning van de bedrijfsvoering.

8

Methodologie

De context van de materie is zowel juridisch, psychologisch, technologisch en economisch. Gezien de dualiteit van de aanpak van de verschillende werelden, namelijk enerzijds de vaagheid en ruimte voor interpretatie van de juridische en psychologische wereld, en anderzijds de exactheid en punctualiteit van de technologie en economie, hebben we de studie als volgt aangepakt:

Informeren: verzamelen van de feiten enerzijds en interpretaties anderzijds

Structureren en analyseren

Concluderen

Tijdens de eerste fase, in de eerste gesprekken, bleek snel dat het ging om een complexe materie, dat er veel spraakverwarring was, dat het onderwerp telkens bekeken werd vanuit een beperkte invalshoek, en dat er nogal wat vooroordelen waren. Om de problematiek juist te schetsen was het belangrijk om de visie en bezorgdheid van de verschillende betrokken partijen in kaart te brengen. Nuances in definities en terminologie bemoeilijkten de communicatie.

Bij het verzamelen van de informatie hebben we de verschillende departementen van de overheid, die betrokken zijn bij het realiseren van de eID kaart, geconsulteerd. Dit is gebeurd aan de hand van individuele gesprekken en interviews.

Daarnaast is gezocht naar bestaande applicaties buiten e-government. Dit is een goede barometer voor het niveau van acceptatie van de technologie van de eID door de industrie. De online lijst op http://eid.belgium.be van Fedict was het startpunt. Al snel werden we ook hier geconfronteerd met vooroordelen en technische barrières. Contacten met verschillende onderzoeksprojecten en de academische wereld leerden ons snel dat er heel wat geïnvesteerd wordt en dat er op korte termijn interessante resultaten beschikbaar zullen zijn.

Ook de gebruikers werd geconsulteerd. Via de beroepsorganisaties hebben we toegang gekregen tot een veelheid van bedrijven, die spontaan en enthousiast hebben meegewerkt aan workshops en enquêtes.

Op basis van deskresearch werd inhoud gegeven aan termen, concepten en trends. Er werd even over de grens gekeken hoe de eID er wordt geïmplementeerd en hoe het gebruik van eID evolueert.

In de tweede fase werd in eerste instantie de veelheid aan informatie geordend en gezocht naar een zinvolle structuur om de verschillende applicaties bij elkaar te brengen. We hebben gezocht naar een structuur die de bedrijven helpt om vanuit hun problematiek na te gaan of een oplossing beschikbaar is.

Per groep hebben we de analyse uitgevoerd. Deze analyse omvat verschillende aspecten:

Juridische context

Technische context

Economische context

Psychologische context

Voor sommige applicaties hebben we een meer gedetailleerde omschrijving gezocht. De motivatie en alternatieven voor bepaalde keuzes leken ons een interessante bijdrage te leveren aan de context.

De workshops en enquêtes hebben we voor een stuk gebruikt als klankbord en bevestiging voor bepaalde trends die bleken uit de analyse.

In een derde fase werd gezocht naar patronen in de verschillende contexten om zo een synthese te maken van het gevoerde onderzoek. Dit leidde tot het formuleren van conclusies en aanbevelingen.

Leeswijzer

http://eid.belgium.be

9



Omdat terminologie en definities belangrijk zijn, wordt in bijlage een overzicht gegeven van de specifieke termen die gebruikt werden in dit rapport. Het kan voor de lezer belangrijk zijn om de betekenis van deze termen naast de tekst te houden voor een juiste interpretatie van de inhoud. We hebben hier niet als doelstelling de definitie van de termen vast te leggen. We willen gewoon duidelijk communiceren. Vooral de betekenis van de term authenticatie en de nuances tussen digitale en elektronische handtekening zijn belangrijk. Hier moet wel al opgemerkt worden dat we in deze studie steeds de term ‘elektronische handtekening’ gebruikt hebben, terwijl de juiste term eigenlijk ‘digitale handtekening’ is. We hebben echter die keuze gemaakt omdat men in de wetgeving steeds spreekt over elektronische handtekening en we verwarring wilden vermijden.

Het gaat hier om een complexe materie, en omdat “wat de mens niet vat, hij verzint” - zoals een professor tijdens ons gesprek verwoordde - hebben we hoofdstuk 3 gewijd aan de demystificatie van de technologie. We proberen in dit hoofdstuk om in het kort en in begrijpbare taal de technische aspecten van de eID toe te lichten.

Ook de analyse van de juridische, economische, psychologische en internationale context, geeft ons op basis van feiten richting voor de analyses (zie hoofdstukken 2, 4, 5 en 6).

In bijlage vindt u de details van de verschillende applicaties die vandaag reeds beschikbaar zijn, en waarop we ons onderzoek gebaseerd hebben. In hoofdstuk 7 gaan we dieper in op de kenmerken van de verschillende groepen applicaties en in hoofdstuk 8 analyseren we enkele specifieke toepassingen in case studies.

In hoofdstuk 9 geven we een overzicht van het wetenschappelijk onderzoek in het domein van de eID.

Uiteindelijk vindt u in hoofdstuk 10 het resultaat van deze studie: de conclusies en aanbevelingen.

We willen er nogmaals de aandacht op vestigen dat het geenszins de bedoeling van deze studie is om een academisch naslagwerk te maken, noch om exhaustieve lijsten van applicaties op te stellen.

10

Geconsulteerde bronnen en informatie

Voor dit onderzoek is een brede waaier aan informatiebronnen geconsulteerd en zijn er talrijke actoren bevraagd. De volledige lijst van alle gecontacteerde instellingen, organisaties en bedrijven is te vinden in bijlage.

De bevraging van de stuurgroepleden werd reeds vermeld in de inleiding. De resultaten van deze interviews hebben ons in staat gesteld om de opdracht af te bakenen en te kaderen in een groter geheel.

Naast de FOD Economie werden ook de andere federale overheidsinstellingen die betrokken zijn bij de eID gecontacteerd, namelijk de FOD Binnenlandse Zaken, Fedict, de FOD Sociale Zekerheid en de dienst Administratieve Vereenvoudiging van de Kanselarij van de Eerste Minister. Zij hebben ons de context geschetst van de voorbereiding, de planning en de invoering van de eID en alle facetten die eraan verbonden zijn.

Ook zochten we op Europees niveau naar synergieën en conflicten. Daartoe namen we contact met internationale bedrijven, hebben we binnen IBM onze buitenlandse collega’s geraadpleegd en hebben we contacten gelegd met de Europese Commissie.

Om een overzicht te krijgen van het wetenschappelijk onderzoek werden de voornaamste actoren aan de universiteiten, hogescholen en andere onderzoekscentra die bezig zijn met het onderzoek over de eID gecontacteerd.

Om de visie van de ondernemers te kennen, werden contacten gelegd met Unizo, het VBO en met een Waals netwerk van universiteiten en bedrijven (Infopole – Cluster ICT). Op die manier konden we bevragingen organiseren bij ondernemers. Dit gebeurde door middel van enquêtes en workshops.

Daarnaast werden tal van andere betrokken actoren gecontacteerd zoals de verbruikers-organisaties TestAankoop en het Onderzoeks- en Informatiecentrum van de Verbruikersorganisaties (OIVO), Agoria, het VVSG, enz.

Ook een aantal bedrijven en organisaties die de eID integreren in hun bedrijfsvoering, bijvoorbeeld Ethias en Christelijke Mutualiteit, werden gecontacteerd. Deze worden diepgaand onderzocht in de case studies.

Tenslotte werden een groot aantal producenten en gebruikers van eID-applicaties bevraagd.

11



1 Algemene context van de eID

1.1 De eID kaart

De elektronische identiteitskaart is het wettelijke identiteitsbewijs van de Belg. Momenteel is men nog bezig met de vervanging van de oude, papieren kaart door de nieuwe elektronische kaart, maar in 2009 zou elke Belg van 12 jaar of ouder in principe over een eID moeten beschikken

Hoe ziet de kaart eruit?

Op de nieuwe elektronische identiteitskaart staan dezelfde gegevens als op de oude papieren kaart, en nog enkele extra gegevens. Er zijn echter veel misverstanden over wat wel en wat niet op de kaart staat. Veel mensen denken dat de kaart ‘gevoelige’ informatie bevat, zoals het medisch dossier, het strafblad, enz.

Dit is echter niet het geval. Om duidelijkheid te scheppen in wat op de kaart staat en wat niet, geven we hieronder een overzicht:

Gegevens die met het blote oog kunnen gelezen worden:

De naam

De eerste twee voornamen

De eerste letter van de derde voornaam

De nationaliteit

De geboorteplaats en -datum

Het geslacht

De plaats van afgifte van de kaart

Het begin en het einde van de geldigheidsduur van de kaart

De benaming en het nummer van de kaart

De foto van de houder

De handtekening van de houder en van de gemeentelijke ambtenaar

Het identificatienummer van het Nationaal Register

12

Een hologram die de foto van de houder overneemt alsook een deel van zijn nationaal registernummer

Gegevens die elektronisch kunnen gelezen worden:

De naam

De eerste twee voornamen

De eerste letter van de derde voornaam

De nationaliteit

De geboorteplaats en -datum

Het geslacht

De plaats van afgifte van de kaart

Het begin en het einde van de geldigheidsduur van de kaart

De benaming en het nummer van de kaart

De foto van de houder

Het identificatienummer van het Nationaal Register

De hoofdverblijfplaats van de houder

De authenticatie- en de handtekeningsleutels (publieke sleutels)

De authenticatie- en de handtekeningcertificaten

De geaccrediteerde certificatiedienstverlener

De informatie die nodig is voor de authenticatie van de kaart en voor de beveiliging van de elektronische leesbare gegevens die op de kaart staan, alsmede voor het gebruik van de bijhorende gekwalificeerde certificaten

De andere vermeldingen opgelegd door de wetten

Gegevens die op de kaart staan, maar niet kunnen gelezen worden, ook niet elektronisch:

De private sleutels

De pincode

De gegevens op de eID kunnen enkel aangepast worden door de overheid. De eID weigert aanpassingen die niet ondertekend zijn door het rijksregister.

Gegevens die niet op de kaart staan: Burgerlijke staat

Gezinssamenstelling

Historiek van verblijfplaatsen

Informatie over beroep en sociale zekerheid

Informatie over rijbewijs, militie, verkiezingen

Historiek van de consultaties van het dossier

Deze gegevens zijn dus niet openbaar, maar kunnen wel gelezen en gecontroleerd worden via de applicatie “Mijn dossier” die door de overheid (Fedict) ter beschikking wordt gesteld. Dit is een applicatie om je persoonlijk dossier in het Rijksregister te consulteren. Elke Belg kan aan de hand van zijn eID zijn persoonlijke gegevens lezen, en nagaan wie de gegevens opgevraagd heeft. De

13



bedoeling is enerzijds een zekere vorm van transparantie te creëren, anderzijds de mensen de mogelijkheid te geven om fouten te identificeren en aan de gemeente te melden voor correctie.

Men kan zijn eigen gegevens enkel lezen, niet manipuleren. Het is evident dat men geen toegang heeft tot de gegevens van andere personen.

Waaruit bestaat de kaart? De kaart als fysieke drager van gegevens, heeft volgende kenmerken:

Op de kaart werd een chip (microprocessor) aangebracht die alle data bevat, zodat het elektronisch uitlezen mogelijk wordt.

Materiaal van de kaart: polycarbonaat voor de eID en PVC voor de Kids-ID. De Kids-ID is de elektronische identiteitskaart voor kinderen onder de 12 jaar, en wordt besproken in het hoofdstuk ‘Juridische context van de eID’.

Hechting van de chip: de lijm is aangepast aan het materiaal. In de opstartfase gebruikte men andere lijm, waardoor er problemen ontstonden met de hechting van de chip. Vooral bij mannen, die veelal hun portefeuille in de achterzak van hun broek hebben zitten, kwam de chip los van de kaart, waardoor zij een nieuwe kaart moesten aanvragen.

Wat heeft men nodig om de kaart te gebruiken? Om op elektronische wijze van de kaart gebruik te kunnen maken heeft men volgende zaken nodig:

Een kaartlezer: een lijst met verkooppunten van kaartlezers is te raadplegen op de website: http://www.cardreaders.be

De software om de kaartlezer te installeren alsook de software nodig om eID-applicaties te gebruiken (middleware) is te vinden via de website: http://www.eid.belgium.be

1.2 De functionaliteiten van de eID kaart De eID heeft drie functionaliteiten, namelijk identificatie, authenticatie en elektronische handtekening. Deze kunnen worden uitgelegd aan een gebruiker aan de hand van onderstaande figuur.

Exact, gemakkelijk, snel Hoge beveiliging

Juridisch bindend

Hand

teke

ning

Identificatie Authenticatie

Bijvoorbeeld een contract

Bijvoorbeeld aan de receptie van een organisatie Bijvoorbeeld veilige

toegang tot websites

(met pincode)

(met pincode)(zonder pincode)

Exact, gemakkelijk, snel Hoge beveiliging

Juridisch bindend

Hand

teke

ning

Identificatie Authenticatie

Bijvoorbeeld een contract

Bijvoorbeeld aan de receptie van een organisatie Bijvoorbeeld veilige

toegang tot websites

(met pincode)

(met pincode)(zonder pincode)

Identificatie: is het kenbaar maken van de identiteit, dus tonen wie men is. Dit gebeurt zonder de pincode te gebruiken.

Authenticatie: is het proces waarbij geverifieerd wordt of een persoon ook werkelijk is wie hij beweert te zijn. Met andere woorden, authenticatie levert de garantie over de identiteit van de

http://www.cardreaders.be

http://www.eid.belgium.be

14

individuen of organisaties waarmee men communiceert. Voor authenticatie heeft men de pincode nodig.

Elektronische handtekening: is het ondertekenen van formulieren op elektronische wijze. Ook hier gebruikt men de pincode. Wanneer men ondertekent met de eID, dan heeft dit dezelfde juridische waarde als een handgeschreven handtekening.

De functionaliteiten en hun proces worden hieronder en verder in het rapport uitgelegd.

Identificatie Identificatie is de eenvoudigste functionaliteit. Men gebruikt identificatie voor het correct doorgeven van informatie, bijv. in een hotel, aan de receptie van een bedrijf, enz.

Het proces om zichzelf te identificeren is makkelijk en snel, het enige wat men moet doen is de kaart in een kaartlezer steken. Alle gegevens verschijnen dan automatisch op het scherm van de PC, al dan niet in een speciaal ontworpen applicatie.

Authenticatie De authenticatie met de eID laat toe om op een veilige manier in te loggen op beveiligde websites. Het principe wordt uitgelegd in onderstaand schema1.

1 Het proces is zeer geautomatiseerd, in die mate dat de gebruiker geen weet heeft van de verschillende stappen, De stappen 5 tot en met 8 zijn bijvoorbeeld volledig transparant voor de gebruiker. Hij zal normaal gezien enkel een bericht krijgen als de handtekening al dan niet geldig is.

15



Bron: thesis: “eID: wat is het, hoe werkt het, wat zijn de mogelijkheden?” (Alexander Goossens)

Elektronische handtekening Met de elektronische handtekening kan men elektronische contracten, facturen, e-mails, enz. veilig ondertekenen.

Hoe een elektronische handtekening plaatsen?

Het principe van het plaatsen van een elektronische handtekening wordt uitgelegd in onderstaand schema.


Hoe kan je zien of een elektronische handtekening geldig is?

Het controleren of een elektronische handtekening geldig is wordt uitgelegd in onderstaand schema.

16


1.3 Rol van de verschillende betrokken FODs

Onderstaand brengen we de verschillende overheidsinstellingen die rechtstreeks betrokken zijn bij de eID in kaart. Dit vinden we noodzakelijk om de volledige procesketen omtrent productie, verspreiding en gebruik van de eID in het geheel te begrijpen en te bekijken of de afstemming optimaal gebeurt.

FOD Binnenlandse Zaken: Wetgeving rond de erkenning van de elektronische identiteitskaart

Beheerder van het Rijksregister (de data)

Uitgever van de kaart; uitreiking zelf gebeurt door de gemeenten

Helpdesk voor de ambtenaren van de gemeenten: [email protected]

Helpdesk voor burgers voor verloren of gestolen kaarten: 02/ 518 21 16 / 17

Uitgever van de Kids-ID

Uitgever van de vreemdelingenkaart

FOD Economie: Peetvader van de erkenning (wetgeving) van de elektronische handtekening en trusted third parties


17



Betrokkenheid vanuit het standpunt “zaken doen”, eerder dan vertegenwoordiger van de bedrijven

Erkenning van de certificatieautoriteiten en controle erop

Dienst Consumentenzaken o.a. betreffende e-commerce

Fedict: Technische ondersteuning bij de realisatie van de kaart en de elektronische handtekening

Ontwikkeling van de middleware en applicaties die gebruik maken van eID en de elektronische handtekening

Technische ondersteuning aan de FOD’s voor het ontwikkelen van applicaties die gebruik maken van eID en de elektronische handtekening

Eigenaar van de website www.eid.belgium.be

Helpdesk ([email protected]) voor de technische vragen

Kanselarij van de Eerste Minister: DAV – Dienst voor Administratieve Vereenvoudiging: Eenmalige gegevensopvraging stimuleren

e-government coördineren, samenwerking tussen de FOD’s stimuleren om backoffice processen af te stemmen

FOD Sociale Zekerheid: Integratie van de SIS-kaart en eID

Bijhouden van de mandatendatabank voor dokters en medisch personeel

Is voor heel wat organisaties de tussenpersoon voor het bekomen van info uit het Rijksregister

FOD Justitie: Regelgeving omtrent gebruik en misbruik van eID en de elektronische handtekening.

Het FENIKS-project zal gebruik maken van eID om personen en hun mandaten te identificeren zodat ze toegang krijgen tot de hen toegewezen informatie en applicaties.

Naast de FODs speelt ook de Europese Unie een belangrijke rol in het creëren van een regelgevend kader.

Europese Unie: Regelgeving:

o Sturend: de regelgeving dient door de lidstaten gerespecteerd te worden. De wetgeving van de verschillende lidstaten moet conform zijn aan deze regelgeving

o Normerend: een aantal bepalingen waaraan de kaarten en data moeten voldoen zodat er een minimale vorm van conformiteit en compatibiliteit aanwezig is

o Regulerend: een open markteconomie moet mogelijk zijn

Na dit overzicht van de voornaamste actoren die betrokken zijn bij de eID wordt in de volgende hoofdstukken de juridische, technische, economische en psychologische context van de eID geschetst.



18

2 Juridische context van de eID

De elektronische identiteitskaart maakt het mogelijk om de identiteit digitaal te bewijzen. Dit is een nieuwe evolutie in onze maatschappij. Omdat het hier om identiteit en privacy gaat, is het nodig om de wetgeving nader te bekijken.

De eID maakt deel uit van een breed juridisch kader. Er zijn verordeningen en richtlijnen gestemd op Europees niveau. En ook op federaal vlak werden er oude wetten aangepast, nieuwe wetten gestemd, koninklijke en ministeriële besluiten uitgevaardigd en omzendbrieven verstuurd. Naast een loutere opsomming van de wetgeving, is het nodig om enkele juridische vraagstukken nader te bekijken. Hoe zit het met het gebruik van het rijksregisternummer? Is het mogelijk om met de eID je bedrijf te vertegenwoordigen? Wat met archivering en e-timestamping van contracten die elektronisch ondertekend zijn?

In de volgende paragrafen wordt een overzicht gegeven van de juridische context.

2.1 Wetgevend kader rond de elektronische identiteitskaart

De wet van 25 maart 2003 tot wijziging van de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen en van de wet van 19 juli 1991 betreffende de bevolkingsregisters en de identiteitskaarten en tot wijziging van de wet van 18 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen voorziet het principe van de creatie van een elektronische identiteitskaart.

Naar aanleiding van het proefproject waarbij elf gemeenten betrokken waren, werd na een positieve evaluatie van de Raad van Ministers en de bevoegde commissie van de Kamer van Volksvertegenwoordigers, bij koninklijk besluit van 1 september 2004 de beslissing genomen om over te gaan tot de algemene invoering van de elektronische identiteitskaart.

Sinds 25 maart 2003 werden enkele uitvoerende besluiten genomen:

Koninklijk besluit van 25 maart 2003 (B.S. 28 maart 2003) betreffende de identiteitskaarten

Koninklijk besluit van 25 maart 2003 (B.S. 28 maart 2003) houdende overgangsmaatregelen in verband met de elektronische identiteitskaart

Ministerieel besluit van 26 maart 2003 (B.S. 28 maart 2003) tot bepaling van het model van basisdocument met het oog op het opmaken van de elektronische identiteitskaart

Koninklijk besluit van 30 november 2003 (B.S. 12 december 2003) tot wijziging van het koninklijk besluit van 25 maart 2003 houdende overgangsmaatregelen in verband met de elektronische identiteitskaart

Koninklijk besluit van 5 juni 2004 (B.S. 21 juni 2004) tot vaststelling van het stelsel van de rechten tot inzage en verbetering van de gegevens die op elektronische wijze opgeslagen zijn op de identiteitskaart en van de informatiegegevens die zijn opgenomen in de bevolkingsregisters of in het Rijksregister van de natuurlijke personen

Koninklijk besluit van 1 september 2004 (B.S. 15 september 2004) tot wijziging van het koninklijk besluit van 25 maart 2003 houdende overgangsmaatregelen met betrekking tot de elektronische identiteitskaart

Koninklijk besluit van 13 februari 2005 (B.S. 28 februari 2005) tot vaststelling van de datum van inwerkingtreding en van het stelsel van het recht tot kennisname van de overheden, instellingen en personen die de informatiegegevens die zijn opgenomen in de bevolkingsregisters of in het Rijksregister van de natuurlijke personen hebben geraadpleegd of bijgewerkt.

19



Koninklijk besluit van 7 december 2006 (B.S. 12 januari 2007) tot vaststelling van de specificaties en registratieprocedure van de leesapparatuur voor de elektronische identiteitskaart en tot wijziging van het koninklijk besluit van 13 februari 1998 houdende specificaties van de leesapparatuur voor de sociale identiteitskaart.

Koninklijk besluit van 18 januari 2008 (B.S. 28/2/2008) tot wijziging van het koninklijk besluit van 25 maart 2003 houdende overgangsmaatregelen in verband met de elektronische identiteitskaart.

Artikel 95 van de Programmawet van 15 juli 2004.

2.2 Privacy

2.2.1 Wetgevend kader

Wat betreft privacy zijn volgende wetten relevant:

Wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen.

Wet van 19 juli 1991 betreffende [de bevolkingsregisters, de identiteitskaarten, de vreemdelingenkaarten en de verblijfsdocumenten] en tot wijziging van de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen

Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens

2.2.2 Verwerken van identiteitsgegevens (behalve het rijksregisternummer)

De wet tot bescherming van de persoonlijke levenssfeer verstaat onder ‘verwerking’: elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procédés, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens (art. 1§2).

Persoonsgegevens mogen slechts verwerkt worden in één van de volgende gevallen:

Wanneer de betrokkene daarvoor zijn ondubbelzinnige toestemming heeft verleend

Wanneer de verwerking noodzakelijk is voor de voor de uitvoering van een overeenkomst waarbij de betrokkene partij is of voor de uitvoering van maatregelen die aan het sluiten van die overeenkomst voorafgaan en die op verzoek van de betrokkene zijn genomen

Wanneer de verwerking noodzakelijk is om een verplichting na te komen waarvan de verantwoordelijke voor de verwerking is onderworpen door of krachtens een wet, een decreet of een ordonnantie

Wanneer de verwerking noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene

Wanneer de verwerking noodzakelijk is voor de vervulling van een taak van openbaar belang of die deel uitmaakt van de uitoefening van het openbaar gezag, die is opgedragen aan de verantwoordelijke voor de verwerking of aan de derde aan wie de gegevens worden verstrekt

Wanneer de verwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke voor de verwerking of van de derde aan wie de gegevens worden verstrekt, mits het belang of de fundamentele rechten en vrijheden van de betrokkene die aanspraak maakt op bescherming uit hoofde van deze wet, niet zwaarder doorwegen (art. 5).

20

2.2.3 Rechtstreekse toegang of informatie uit het Rijksregister

Men kan alleen informatie of rechtstreekse toegang krijgen wanneer er een machtiging van het sectoraal comité is. Ook is de toegang of mededeling mogelijk voor bepaalde groepen (art. 5 Rijksregisterwet). Deze groepen zijn opgesomd in de volgende paragraaf ‘gebruik van het rijksregisternummer’.

2.2.4 Gebruik van het rijksregisternummer

Wetgevend kader Het rijksregisternummer mag niet zomaar door iedereen gebruikt worden. Het gebruik is strikt geregeld. Zo mag het enkel gebruikt worden wanneer er een machtiging is van het sectoraal comité. (art. 8 Rijksregisterwet).

De groepen die het nummer mogen gebruiken zijn:

Belgische openbare overheden

Openbare en private instellingen van Belgisch recht en dit voor de informatie die zij nodig hebben voor het vervullen van taken van algemeen belang

Natuurlijke of rechtspersonen die handelen als onderaannemer van de Belgische openbare overheden

Notarissen en gerechtsdeurwaarders

Orde van apothekers

Orde van de Vlaamse balies en Ordre des barreaux francophones et germanophone

Het hele probleem omtrent het rijksregisternummer is dat het niet gebruikt mag worden zonder toestemming van het sectoraal comité, maar dat het wel standaard wordt uitgelezen vanaf de elektronische identiteitskaart. Met de huidige eID is het immers niet mogelijk om selectief gegevens te lezen: van zodra men de eID in de kaartlezer steekt, worden alle gegevens gelezen. Bovendien bevatten de certificaten voor authenticatie en de elektronische handtekening naast de naam ook het rijksregisternummer. Bij het elektronisch ondertekenen van een e-mail wordt dus ook het rijksregisternummer meegestuurd.

Het volgende extract uit artikel 8 van de Rijksregisterwet verdient grote aandacht:

“De machtiging om het identificatienummer van het Rijksregister te gebruiken wordt verleend door het sectoraal comité van het Rijksregister bedoeld in artikel 15, aan de overheden, de instellingen en de personen die zijn bepaald in artikel 5, eerste lid.”

De discussie die hier gevoerd wordt is: “wat verstaat men onder de term ‘gebruiken’?” Deze term is zeer ruim en voor verschillende interpretaties vatbaar:

In een interview met iemand van de federale overheid werd ons verzekerd dat men het rijksregisternummer kan gebruiken indien men de toestemming heeft gekregen van de houder van het nummer.

In een ander interview hoorden we dat men het rijksregisternummer mag gebruiken, dus lezen, opslaan, bewaren, enz. in een bedrijf, zolang deze gegevens intern blijven. Een database met rijksregisternummers mag dus niet doorgegeven worden aan externen.

Anderen stellen dat men het nummer mag uitlezen, maar niet opslaan of bewaren.

21



Anderen stellen dat het rijksregisternummer gekoppeld mag worden aan een identificatienummer dat intern binnen het bedrijf mag worden gebruikt (via een hash), maar enkel op zo’n manier dat je vanuit het intern identificatienummer op geen enkele manier het rijksregisternummer kan terugvinden.

Nog anderen stellen dat ook het uitlezen van het rijksregisternummer verboden is.

Gebruik van het rijksregisternummer door ondernemers

Veel ondernemers die wij bevraagd hebben, stelden zich allerlei vragen over het gebruik:

Mogen wij toegangscontrole doen met de eID?

Mogen wij het rijksregisternummer gebruiken om mensen op te zoeken in een databank?

De meeste ondernemers zijn redelijk overtuigd dat het rijksregisternummer gebruikt mag worden als unieke sleutel in een bedrijfsdatabank, m.a.w. ze liggen niet echt wakker of zijn zich niet bewust van de juridische consequenties ervan.

Een aantal ondernemers (bijvoorbeeld Ethias) linken het rijksregisternummer aan een intern identificatienummer op een manier dat het maar in één richting werkt. Dit gebeurt elke keer als men inlogt. Het systeem ziet het rijksregisternummer, koppelt het aan het intern identificatienummer en dan wordt verder gewerkt in de applicatie met het intern identificatienummer.

Door de onduidelijkheid met betrekking tot het gebruik van het rijksregisternummer stellen sommige ondernemers zelf richtlijnen op, bijvoorbeeld het bewaren van het rijksregisternummer van bezoekers gedurende de periode van het bezoek, of enkele dagen langer, of een week, of een maand.

Standpunt van de Privacycommissie De Privacycommissie heeft het recht om het Rijksregisternummer te gebruiken steeds restrictief geïnterpreteerd. Als reden werd ingeroepen het vermijden van de banalisering van het gebruik van het rijksregisternummer dat de koppeling van persoonsgegevensbanken al te zeer zou kunnen vergemakkelijken en zodoende profileringen mogelijk maken, die de doeleinden van elk van deze gegevensbanken te buiten gaan. Bedrijven zouden dan immers elkaars databanken kunnen gaan linken en zo veel informatie te weten komen over de burgers.

De commissie heeft haar rechtspraak gehandhaafd betreffende het gebruik van het rijksregisternummer door zich te blijven verzetten tegen het gebruik ervan door andere personen dan deze beoogd in artikel 5 van de Rijksregisterwet, zelfs in het kader van een opdracht van algemeen belang.

Problematiek van uitwisseling van gegevens via het rijksregisternummer Uit interviews met ondernemers en burgers is gebleken dat veel mensen denken dat er via de eID gegevens kunnen gevonden worden over hun persoonlijke dossiers bij de overheid (bijvoorbeeld hun sociaal profiel, strafblad,…). Zij zijn zich niet bewust van het feit dat:

deze gegevens niet op de eID staan

deze gegevens niet makkelijker raadpleegbaar zijn met de eID dan met de vroegere identiteitskaart, omdat deze gegevens enkel door gemachtigde personen, bijvoorbeeld overheidspersoneel, kunnen geraadpleegd worden die hiervoor het rijksregisternummer gebruiken, wat ook aanwezig was op de vroegere identiteitskaart

22

Onderstaand schema kan hierin verduidelijking brengen:

Overheid

Publiek

RRN

Rijksregister-nummer

Rijksregister

RRN

Financiën

RRN

Sociale Zekerheid

RRN

Justitie

Bedrijf D

Bedrijf A

RRN

Gecontroleerd

Bedrijf C

RRN

Opslaan en linken niet toegestaan !RRN

Naam

Adres

Nationaliteit

Geboorte

Foto

Sleutels

Bedrijf B

RRN

Overheid

Publiek

RRN

Rijksregister-nummer

Rijksregister

RRN

Financiën

RRNRRN

Financiën

RRN

Sociale Zekerheid

RRNRRN

Sociale Zekerheid

RRN

Justitie

RRNRRN

Justitie

Bedrijf DBedrijf D

Bedrijf A

RRN

Bedrijf A

RRNRRN

Gecontroleerd

Bedrijf C

RRN

Bedrijf C

RRNRRN

Opslaan en linken niet toegestaan !RRN

Naam

Adres

Nationaliteit

Geboorte

Foto

Sleutels

Bedrijf B

RRN

Bedrijf B

RRNRRN

Overheidsdatabanken

Gegevensbanken van de overheid die unieke gegevens bevatten en vaak gebruikt worden als referentie, krijgen de benaming “authentieke bron”. De inhoud van authentieke gegevensbronnen en het onderhoud van deze gegevens zijn geregeld door strikte procedures (bijvoorbeeld de geboorteaangifte voor het inschrijven in het rijksregister, publicatie in het staatsblad voor het oprichten van een bedrijf voor opname in de kruispuntbank van ondernemingen). Omwille van accuraatheid van de informatie worden deze authentieke bronnen door de andere overheidsinstellingen gebruikt als referentie.

Voorbeelden van authentieke bronnen zijn: het rijksregister, de kruispuntbank sociale zekerheid en de kruispuntbank voor ondernemingen. De toegang tot authentieke bronnen is streng gereglementeerd en valt onder het toezicht van een comité.

Doorgedreven informatisering en een trend naar “Beter Bestuurlijk Beleid”, verplichten de overheid om gegevens rond burger en bedrijf op te zoeken in eigen bestanden, in plaats van burger en bedrijf lastig te vallen met het vragen naar steeds dezelfde informatie. Unieke codes vereenvoudigen en versnellen dit zoeken naar informatie. Het rijksregisternummer (RRN) wordt gebruikt als unieke code voor het identificeren van elke burger.

Bedrijfsdatabanken

Bedrijven houden gegevens bij die noodzakelijk zijn voor hun bedrijfsvoering. Meestal hanteren ze hierbij een uniek identificatienummer voor elke klant (wat trouwens niet altijd het geval is, soms wordt er een uniek identificatienummer per dossier bijgehouden waardoor op eenzelfde klant dus meerdere identificatienummers van toepassing kunnen zijn). De problematiek van het koppelen van het rijksregisternummer aan dit uniek identificatienummer werd reeds hierboven beschreven.

Voor de bedrijfsdatabanken geldt dat ze het rijksregisternummer niet mogen stockeren en de gegevens gelinkt aan het rijksregisternummer niet mogen uitwisselen.

23



Conclusies over het gebruik van het rijksregisternummer

Wat we duidelijk vaststellen is dat er een zeer grote onduidelijkheid bestaat over wat mag en niet mag op het gebied van het rijksregisternummer en dat er verschillende interpretaties en verhalen bestaan die elk hun eigen leven gaan leiden.

Er is veel verwarring bij ondernemers: langs de ene kant wordt het gebruik van de kaart gepromoot, langs de andere kant krijgen ze te horen dat de kaart misschien onbruikbaar is, wegens het uitlezen van het rijksregisternummer.

Er is een onduidelijkheid bij de bevolking over de link tussen de eID en persoonlijke informatie gestockeerd in databanken van de overheid.

2.3 Rechten als burger

Als burger heeft men enkele rechten met betrekking tot de informatie uit het Rijksregister en de identiteitskaart:

Toegangsrecht: recht op toegang tot de persoonlijke data in de database en op de kaart

Correctierecht: recht op corrigeren van informatie als deze foutief of onvolledig is

Informatierecht: recht na te gaan welke administraties en personen toegang hebben gehad tot de persoonlijke gegevens gedurende de laatste zes maanden, uitgezonderd bepaalde autoriteiten

Alle bovenstaande verrichtingen kan de burger zelf uitvoeren door in te loggen op de applicatie “Mijn Dossier” van het Rijksregister. Deze verrichtingen zijn kosteloos (art. 6 wet 25 maart 2003 en KB 5 juni 2004).

2.4 Vreemdelingenkaart

Tot op heden werd een vreemdelingenkaart afgeleverd aan elke vreemdeling, van12 jaar of ouder, die een recht of toelating tot verblijf in België heeft verworven. Het betrof kartonnen kaarten die in verschillende kleuren werden afgeleverd en die gedecentraliseerd op gemeentelijk niveau werden aangemaakt.

De vroegere kaarten sloten echter niet langer aan bij de visie van de moderne en dynamische overheid: ze waren verouderd, slecht beveiligd en lieten de vreemdeling niet toe om zich ten volle in te schakelen in de elektronische maatschappij.

Door deze vroegere documenten te vervangen door elektronische kaarten die in hoge mate conform zijn met de elektronische identiteitskaarten waarover de Belgen reeds beschikken (eID), kan worden tegemoet gekomen aan de huidige noden.

De uitreiking van de elektronische verblijfsbewijzen moet ertoe bijdragen dat België zich conformeert aan de verordening (EG) nr. 1030/2002 van de Raad van 13 juni 2002 betreffende de invoering van een uniform model voor verblijfstitels voor onderdanen van derde landen. Deze verordening verplicht de lidstaten om aan vreemdelingen verblijfstitels af te leveren die overeenstemmen met het in die verordening bepaalde model waarop bepaalde vermeldingen worden aangebracht en dat een machineleesbaar gedeelte bevat.

Er werd een project opgestart om de vreemdelingenkaarten uit te reiken in drie pilootgemeenten: Antwerpen, Ukkel en Tubeke. Op woensdag 20 december 2006 reikte de Heer Minister Patrick Dewael de eerste nieuwe verblijfstitels voor niet-EU vreemdelingen uit tijdens een persconferentie die plaatsvond in het stadhuis van Ukkel.

24

Normaal gezien zullen de huidige eID-toepassingen ook met de vreemdelingenkaarten kunnen werken, doordat de technologie en de datastructuur dezelfde is.

De belangrijkste wetten en KB’s in verband met de vreemdelingenkaart zijn:

Wet van 25 maart 2003 tot wijziging van de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen en van de wet van 19 juli 1991 betreffende de bevolkingsregisters en de identiteitskaarten en tot wijziging van de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen

Wet van 15 december 1980 betreffende de toegang tot het grondgebied, het verblijf, de vestiging en de verwijdering van vreemdelingen

Koninklijk besluit van 8 oktober 1981 betreffende de toegang tot het grondgebied, het verblijf, de vestiging en verwijdering van vreemdelingen

Koninklijk besluit van 5 juni 2004 tot vaststelling van het stelsel van de rechten tot inzage en verbetering van de gegevens die op elektronische wijze opgeslagen zijn op de identiteitskaart en van de informatiegegevens die zijn opgenomen in de bevolkingsregisters of in het Rijksregister van de natuurlijke personen.

2.5 Kids-ID

Het koninklijk besluit van 18 oktober 2006 (B.S. van 31 oktober 2006) betreffende het elektronische identiteitsdocument voor kinderen onder de 12 jaar wijzigt het koninklijk besluit van 10 december 1996 betreffende de identiteitsstukken en -bewijzen voor kinderen onder de twaalf jaar. Het strekt tot de vervanging van het huidige kartonnen identiteitsbewijs door een elektronisch identiteitsdocument, voor wat de Belgische kinderen betreft.

De uitreiking van het elektronische identiteitsdocument voor Belgische kinderen onder de 12 jaar gebeurt op vraag van de persoon of personen die het ouderlijk gezag over het betrokken kind uitoefenen. De geldigheidsduur van het document is maximaal 3 jaar. Dit document biedt de mogelijk om het kind snel te identificeren, zowel binnen als buiten het Rijk.

Het Kids-ID is dus een identiteits- en reisdocument, maar biedt tevens andere voordelen:

Elektronische identificatie mogelijk vanaf zes jaar. De gegevens op de chip bieden de mogelijkheid om de kaart op Internet te gebruiken en om veiliger te surfen en te chatten, maar biedt ook andere elektronische gebruiksmogelijkheden. Zij kan in de toekomst bijvoorbeeld ook gebruikt worden als bibliotheekkaart, lidkaart van een sportclub, …

Vermelding op alle documenten van een centraal en uniek telefoonnummer (+32 (0)78 150 350), 24 uur op 24 uur, 7 dagen op 7 bereikbaar, waarnaar gebeld kan worden indien het kind een probleem heeft of in gevaar is. De ouders kunnen, als ze dit wensen, een lijst van nummers toevoegen aan dit centrale nummer, waarnaar in een noodgeval getelefoneerd kan worden. Het kiezen voor een centraal telefoonnummer, gelinkt aan een cascadesysteem, biedt meerdere voordelen:

o Geen enkel persoonlijk gegeven van een derde wordt nog op het document vermeld.

o Er kunnen meerdere contactnummers doorgegeven worden, zodat, bij een gebrek aan reactie op het eerste nummer, men naar het volgende nummer kan overgaan tot er een reactie is.

o Het systeem is flexibel in die zin dat een contactnummer dat niet meer pertinent is, geschrapt en/of gewijzigd kan worden.

Betere beveiliging van het document. Er werden verschillende beveiligingselementen van het eID in het document geïmplementeerd om het moeilijk vervalsbaar te maken.

25



Op de Kids-ID staat naast het rijksregisternummer ook een barcode, die kan gebruikt worden om in te scannen. De barcode is het nummer van de ID-kaart. Dit nummer verandert als er een nieuwe kaart wordt aangemaakt (bijvoorbeeld bij verlies), het is dus geen uniek nummer per persoon, zoals het rijksregisternummer.

Op dit moment is een proeffase voor de verspreiding van het elektronische identiteitsdocument voor kinderen onder de twaalf jaar aan de gang in zes gemeenten van het Rijk, namelijk: Koekelberg, Ottignies-Louvain-La-Neuve, Luik, Houthalen-Helchteren, Bornem en Oostende.

2.6 Toekomstige oplossingen voor bescherming van de privacy

Wegens de onduidelijkheden rond het gebruik van het rijksregisternummer, zijn we op zoek gegaan naar eventuele toekomstige oplossingen voor dit probleem:

Wat betreft de betere bescherming van de identiteitsgegevens op de kaart (naam, adres,…):

o Een mogelijkheid is dat de gegevens geëncripteerd worden bij het uitlezen, wat ervoor zorgt dat bijvoorbeeld het rijksregisternummer niet meer leesbaar zal zijn waardoor de bovengenoemde problemen met betrekking tot het gebruik van het rijksregisternummer grotendeels opgelost worden. Hier moet opgemerkt worden dat het nu ook al mogelijk is om enkel bepaalde gegevens te laten uitlezen, door de installatie van een interface. Maar dit belet niet dat de gegevens door het systeem zelf nog altijd in hun volledigheid worden gelezen, ook al kan men dit niet zien in de applicatie. Op die manier is opslag en gebruik van het rijksregisternummer nog altijd mogelijk.

o Een andere mogelijkheid is gebruik maken van anonieme credentials (dit wordt uitvoerig uitgelegd in het hoofdstuk “Technische context van de eID”). Dit zijn certificaten, uitgegeven door trusted third parties, die niet gelinkt kunnen worden aan de identiteit van de persoon. Zo kan er bijvoorbeeld een certificaat worden afgeleverd waarin staat dat de persoon ouder is dan 18 jaar, zonder de leeftijd vrij te geven.

o Nog een andere mogelijkheid is gebruik maken van “zero knowledge technologie” (dit wordt ook uitgelegd in het hoofdstuk “Technische context van de eID”). Het principe is dat je bewijst dat een bepaald feit waar is, zonder het feit zelf te onthullen. In plaats van dat de kaart alle gegevens in één keer vrijgeeft, wordt er door het systeem een vraag aan de kaart gesteld. Bijvoorbeeld: als men aan de ingang van een discotheek de leeftijd van de bezoekers wil controleren, dan kan men op die manier alleen de leeftijd zien, en niet het adres of het rijksregisternummer.

Wat betreft het gevaar voor een Trojaans paard (dit is in de computerwereld een programma dat ongewenst meekomt met een programma dat door de gebruiker wordt geïnstalleerd. Het kan toegang tot de geïnfecteerde computer verschaffen aan kwaadwillenden en zo schade toebrengen aan de computergegevens of de privacy van de gebruiker). Er moet een slot komen op de kaart zelf, zodat geen gegevens meer kunnen uitgelezen worden. Nu zit het slot in de middleware en die stopt wanneer je de applicatie niet meer gebruikt. Als je dus de kaart laat zitten, dan kan een Trojaans paard de gegevens stelen. Dit is ook alleen maar bij de middleware van de overheid, en misschien niet altijd bij bedrijven die zelf hun middleware ontwikkelen. Daarom moet de beveiliging op de kaart komen. Men kan ervoor zorgen dat de applicatie waarvoor de eID gebruikt wordt, vraagt of de kaart wel daadwerkelijk mag uitgelezen worden. Men gaat dus expliciet toestemming vragen aan de eigenaar, waardoor een kwaadaardig programma niet zomaar gegevens kan beginnen uitlezen als de eigenaar de kaart in de lezer laat zitten

Wat betreft de certificaten: het rijksregisternummer zit verwerkt in de certificaten, dus er is een probleem bij het plaatsen van de elektronische handtekening. Er wordt over nagedacht door

26

Fedict om het nummer uit het certificaat te halen, maar hoe check je dan of een certificaat aan een bepaalde persoon toebehoort? In andere Europese landen heeft men voor dergelijke problematiek reeds een oplossing, bijvoorbeeld in Oostenrijk (zie het hoofdstuk “Internationale context van de eID”).

Wat betreft de wetgeving : een andere manier om het probleem met het rijksregisternummer op te lossen is het opstellen van een regelgeving die het probleem vermijdt. Bijvoorbeeld: een wet zou een bepaling kunnen bevatten dat het gebruik van het rijksregisternummer geen probleem is, wanneer het gaat om een applicatie die het nummer enkel uitleest, zonder dat er een andere handeling wordt uitgevoerd.

2.7 De elektronische handtekening

2.7.1 Kader en juridische waarde van de handtekening

Het juridisch kader rond de elektronische handtekening bevat volgende wetten:

Wet van 20 oktober 2000 tot invoering van het gebruik van telecommunicatiemiddelen en van de elektronische handtekening in de gerechtelijke en de buitengerechtelijke procedure

Wet van 9 juli 2001 houdende vaststelling van bepaalde regels in verband met het juridisch kader voor elektronische handtekeningen en certificatiediensten

Wet van 19 juli 1991 betreffende [de bevolkingsregisters, de identiteitskaarten, de vreemdelingenkaarten en de verblijfsdocumenten] en tot wijziging van de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen

Wet van 21 maart 2003 inzake elektronische handel

De rechtsgeldigheid van de elektronische handtekening is geregeld op Europees niveau met de Europese richtlijn voor de elektronische handtekening van 13 december 1999. Volgens deze richtlijn moeten alle lidstaten ervoor zorgen dat de elektronische handtekening gebaseerd op een elektronisch gekwalificeerd certificaat dezelfde rechtsgeldigheid geniet als een handgeschreven handtekening. België heeft deze richtlijn omgezet in nationale wetgeving in de wet van 9 juli 2001.

In deze wet wordt een onderscheid gemaakt tussen verschillende soorten elektronische handtekeningen:

De ‘gewone’ handtekening: gegevens in elektronische vorm, vastgehecht aan of logisch geassocieerd met andere elektronische gegevens die worden gebruikt als middel voor authenticatie. Je kan deze handtekening best vergelijken met je naam onder een document of e-mail te plaatsen. Een gedigitaliseerde handtekening behoort ook tot deze categorie.

De ‘geavanceerde’ handtekening:

o Is op unieke wijze aan de ondertekenaar verbonden

o Maakt het mogelijk de ondertekenaar te identificeren

o Wordt aangemaakt met middelen die de ondertekenaar onder zijn uitsluitende controle kan houden

o Is op zodanige wijze aan de gegevens waarop zij betrekking heeft verbonden, dat elke latere wijziging van de gegevens kan worden opgespoord

Dit is een handtekening gecreëerd door een systeem vergelijkbaar met eID. Enkel wordt dit systeem niet beheerd of gecontroleerd door een bevoegde instantie. Een voorbeeld hiervan is Isabel (zie verder).

27



De gekwalificeerde handtekening: (définition par abus de langage2) een geavanceerde door een veilig middel gecreëerde handtekening, gebaseerd op een gekwalificeerd certificaat en afgeleverd door een certificatiedienstverlener. Deze dienstverlener moet voldoen aan de voorwaarden gesteld in annex 2 van de wet. In het geval van eID is de dienstverlener Certipost

De juridische waarde van de elektronische handtekening, kunnen we samenvatten als volgt: elke gewone en geavanceerde elektronische handtekening is toelaatbaar als bewijsmiddel. De rechter beoordeelt echter wel zelf de bewijskracht. Een gekwalificeerde elektronische handtekening wordt automatisch gelijkgesteld aan een handgeschreven handtekening. De rechter heeft hierbij geen beoordelingsvrijheid.

2.7.2 Elektronische archivering en tijdsregistratie

Wet van 15 mei 2007 De mogelijkheid tot het plaatsen van een elektronische handtekening betekende een grote vooruitgang in de digitale wereld. Maar deze vooruitgang bracht ook problemen met zich mee: vertrouwen in de menselijke relaties wordt vaak opgebouwd op grond van fysieke ontmoetingen, verbintenissen op papier en ondertekend met een schriftelijke handtekening, desgevallend aangetekend verzonden en door de postbeambte aan de persoon in kwestie overhandigd. Het was dus nodig om ook een klimaat van vertrouwen te scheppen in de virtuele wereld, waarin partijen elkaar niet horen of zien. Dit klimaat werd geschapen door de verleners van vertrouwensdiensten (trusted third parties) voor diensten zoals certificatie, elektronische tijdsregistratie (timestamping), archivering, enz.

Om de betrouwbaarheid van deze vertrouwensdiensten te waarborgen, was er reeds enkele jaren vraag naar een juridisch kader. De wet van 2001 in verband met de elektronische handtekening was qua toepassingsgebied te beperkt, omdat het toepassingsgebied enkel de interventie van de derde vertrouwenspersoon in het kader van het gebruik van elektronische handtekeningen en identiteitscertificaten omvat. Als men het afsluiten, de overdracht en het behoud van een rechtshandeling beoogt in een volledig elektronisch kader, dan moet ook in een bredere context nagedacht worden over de voorwaarden waaraan andere vertrouwensdiensten moeten voldoen (bijvoorbeeld: onpartijdigheid, vertrouwelijkheidsplicht,…).

De wet van 15 mei 2007 tot vaststelling van een juridisch kader voor sommige verleners van vertrouwensdiensten heeft in het bijzonder betrekking op vier diensten: archivering, elektronische tijdsregistratie (timestamping), aangetekende zendingen en tijdelijke blokkering van geldsommen. Voor deze diensten worden een aantal minimale kwaliteitseisen vastgelegd die gemeenschappelijk zijn voor de vier vertrouwensdiensten en hieraan wordt een systeem van controle- en strafsancties gekoppeld. Met deze wet is in België voorlopig de eerste bouwsteen gelegd van een juridisch kader voor de verleners van vertrouwensdiensten.

In de memorie van toelichting vinden we het uitgangspunt van de wetgever terug: “De markt van de vertrouwensdiensten is momenteel in opmars, maar dit gaat gepaard met moeilijkheden en een schommelend kwaliteitsniveau. De afwezigheid van een juridisch kader zorgt voor de nodige obstakels. Vooreerst is er het feit dat bepaalde weinig gewetensvolle dienstverleners diensten aanbieden die technisch en ook juridisch onvoldoende betrouwbaar zijn. Vervolgens is er het gebrek aan minimumnormen, waardoor de afnemers van de diensten moeilijk kunnen nagaan welke dienstverlener het vertrouwen waard is, en dus ook welke dienst het dichtst hun behoeften benadert.

2 De wet van 9/7/2001 bevat geen definitie van een gekwalificeerde handtekening, maar door verkeerd taalgebruik en ter vereenvoudiging wordt deze benaming gebruikt voor een geavanceerde door een veilig middel gecreëerde handtekening, gebaseerd op een gekwalificeerd certificaat afgeleverd door een certificatiedienstverlener die voldoet aan de voorwaarden van annex 2 van de wet

28

Tenslotte is er het risico, dat de rechters geconfronteerd dreigen te worden met prangende juridische vraagstukken in verband met dergelijke diensten, waarvoor het gemeen recht ontoereikend blijkt”.

Elektronische archivering

De mogelijkheid tot elektronische archivering van documenten betekent een grote vooruitgang:

Er is veel minder fysiek archief nodig, dus op lange termijn kan het goedkoper zijn.

Het elektronisch ondertekenen van documenten die gearchiveerd worden, zorgt ervoor dat de inhoud van deze documenten niet veranderd kan worden.

Back-ups zijn veel sneller en makkelijker te maken.

Men kan makkelijk nagaan welke documenten geraadpleegd zijn, en wie bepaalde zaken afgeprint of gekopieerd heeft (fraude).

Men kan veel sneller documenten terugvinden dankzij een index of het zoeken op sleutelwoorden.

Men kan veel sneller documenten doorsturen vanuit het elektronische archief.

Er zijn echter ook enkele problemen/uitdagingen:

Technisch: de garantie op lange termijn van stabiliteit en leesbaarheid van de digitale gegevens.

Juridisch: onduidelijkheid over wat elektronisch mag/moet gearchiveerd worden en wat niet. Over dit onderwerp wordt hieronder verder ingegaan.

De vraag of elektronisch archiveren wel mag speelt bij veel overheden, maar ook bij bedrijven en particulieren. Of elektronisch archiveren mag of niet, hangt van twee zaken af:

Is de digitale versie van het document een rechtsgeldig document?

Indien de wet uitdrukkelijk de rechtsgeldigheid van een document in digitale vorm vastlegt, dan is er geen probleem. Meestal zwijgt de wet hier echter over en moet uit de context afgeleid worden of een bepaald document geldig in digitale vorm kan opgemaakt worden. De functionele equivalentie-theorie schetst het kader om dergelijke analyse uit te voeren. Hierbij gaat men na of het doel van de vormvereiste wel bereikt wordt. Wanneer een vormvereiste ofwel niet op digitale wijze kan geïmplementeerd worden, ofwel het doel niet bereikt is, dan is de digitale versie van een document niet rechtsgeldig.

Mag het document uitsluitend in digitale vorm bewaard worden?

In enkele heel uitzonderlijke gevallen legt de wet uitdrukkelijk op in welke vorm documenten bewaard moeten worden. Meestal zwijgt de wet hierover. Als uitgangspunt worden documenten bewaard in hun oorspronkelijke vorm. De wetgever voerde zelf verschillende uitzonderingen in op dit principe, bijvoorbeeld: verschillende overheidsdiensten kregen het recht om hun papieren stukken om te zetten in foto- of microfotokopieën, magnetische, elektronische of optische kopieën. Het gaat onder meer om stukken die enkel geldig in papieren vorm gemaakt mogen worden. De uitzonderingsbepalingen vermelden telkens dat de kopie dezelfde bewijswaarde heeft als het origineel. De originele stukken worden in de regel vernietigd.

Naast deze uitzonderingen, blijkt dat de wetgeving niet altijd consistent is. Het kan voorvallen dat archivering in oorspronkelijke vorm toch om één of andere reden niet volstaat. Zo mag de boekhouding in digitale vorm opgesteld worden, maar volgens de boekhoudwet moet het dagboek, het centraal boek en het inventarisboek in papieren registers bewaard worden. De fiscus aanvaardt de digitale versie wel, zolang de onveranderlijkheid van de boekingen gegarandeerd is.

29



Uit bovenstaande tekst kan men opnieuw vaststellen dat het wettelijk kader onduidelijk en ingewikkeld is. Dat zal ongetwijfeld leiden tot veel vragen en twijfels bij ondernemers of particulieren die hun documenten elektronisch willen bewaren en archiveren.

Elektronische tijdsregistratie (e-timestamping)

Diensten voor e-timestamping zijn een belangrijke component voor de beveiliging van moderne telecommunicatiediensten, bijvoorbeeld voor het afsluiten van elektronische contracten, EDI (Electronic Data Interchange), bescherming van IPR (Intellectual Property Rights), interactieve multimedia diensten, enz.

Elektronische timestamping is een cryptografische techniek die toelaat om tijdsinformatie te verbinden aan elektronische documenten. Zo kan men bijvoorbeeld nagaan wanneer een bepaald document gecreëerd werd en controleren dat het in tussentijd niet meer gewijzigd werd. Om de juiste tijd te koppelen aan een elektronisch (ondertekend) document, kan men niet gewoon de eigen klok van de PC gebruiken, omdat die manueel aan te passen is, wat mogelijkheid geeft tot fraude.

In de praktijk is een dergelijke techniek gebaseerd op het concept van een vertrouwde derde partij (trusted third party) die de dienst op een onpartijdige manier uitbaat. Verder maakt men ook gebruik van beveiligingsprimitieven zoals elektronische handtekeningen en cryptografische hash-functies om te verzekeren dat een timestamp niet vervalst kan worden. In onderstaande figuur wordt grafisch weergegeven hoe het principe van de timestamp werkt.

Bron: Wikipedia

Certipost is een voorbeeld van een vertrouwde derde partij die de dienst voor e-timestamping aanbiedt. Een referentiedatum en -tijd worden gekoppeld aan elektronische gegevens door middel van een elektronische handtekening van de aanbieder van de e-timestamping. Er zijn drie kenmerken:

Communicatie interface: e-timestamping wordt aangeboden via een eenvoudige web interface. De gebruiker kan zich authenticeren aan de hand van deze interface en e-Timestamps aanvragen. Dit alles verloopt via https (dit is zoals een gewone website, maar met een laag

30

eronder die de gegevens die je verzendt op een veilige manier codeert, zodat die gegevens niet onderschept kunnen worden tussen jouw computer en de webserver) wat de confidentialiteit van de communicatie garandeert.

Servers voor elektronische tijdsregistratie: de servers maken de timestamps aan en tekenen deze digitaal. De timestamping server zal na ontvangst van een aanvraag voor een timestamp een antwoord uitreiken die de getekende timestamp bevat (timestamp token).

Universele tijdsbron: men doet beroep op een zeer nauwkeurige, zekere en ontegensprekelijk correcte tijdsklok. De timestamping servers worden regelmatig gesynchroniseerd met deze universele tijdsbron.

De mogelijke voordelen3 van elektronische tijdsregistratie zijn:

Bewijswaarde: e-timestamping levert het bewijs dat gegevens bestonden op een bepaald tijdstip en dat sindsdien de inhoud niet werd gewijzigd

Risicobeheer: bedrijven kunnen zich indekken tegen vertrouwens- en integriteitsrisico’s. Aan de hand van e-timestamping kan men de integriteit van elektronische registraties bewijzen

Elektronische handtekening: De technologie van de elektronische tijdsregistratie wordt gekoppeld aan een elektronische handtekening. Hierdoor wordt de bijkomende dimensie van onweerlegbaarheid toegevoegd.

Enkele van deze voordelen zullen pas kunnen bereikt worden indien enkele wettelijke voorwaarden gerespecteerd worden.

De wet van 15 mei 2007 geeft zoals hierboven het wettelijke kader van voorwaarden waaraan een verlener van diensten van e-timestamping moeten voldoen.

Wat echter niet geregeld is:

Een definitie van de criteria waaraan het proces van timestamping moet voldoen om juridisch erkend te worden, namelijk op het niveau van time servers

Welke bedrijven gecertificeerd zijn om dergelijke diensten aan te bieden

Hoe de eID moet gebruikt worden

Dit kan zorgen voor een zekere terughoudendheid bij mensen ten aanzien van het gebruik van zo’n ‘timestamp’. Als er geen standaarden zijn, en men is niet zeker of men wel op een juridisch geldige manier werkt, dan zullen mensen dit niet als een extra ingebouwde veiligheid zien bij het plaatsen van een elektronische handtekening of bij het archiveren van hun documenten.

Het probleem van standaardisatie is ook bij de elektronische handtekening en de daarbij horende certificaten een probleem. Op Europees niveau is men zich bewust van deze problematiek. Voor meer informatie verwijzen wij naar de studie over standaardisatie, uitgevoerd door SEALED (http://www.esstandardisation.eu/).

Momenteel is het nog niet mogelijk om een document te ondertekenen met de eID en tegelijkertijd een ‘timestamp’ te zetten. Certipost werkt wel aan een oplossing hieromtrent.

Mandatering

3 Enkele van deze voordelen zullen pas bereikt worden indien enkele wettelijke voorwaarden gerespecteerd zijn.

http://www.esstandardisation.eu/

31



De eID heeft een intuitu personae karakter, dat wil zeggen dat hij steeds gekoppeld is aan een fysiek persoon. Er bestaat geen eID op naam van een onderneming.

Contracteren met een rechtspersoon gebeurt door het contract te ondertekenen samen met de door de onderneming gelaste persoon. Deze laatste tekent in naam en voor rekening van de rechtspersoon. In dit geval is het op zich minder belangrijk te weten wie deze tekenende persoon is, dan wel, met het oog op de rechtsgeldigheid van de overeenkomst, te weten in welke hoedanigheid die persoon tekent en of hij over afdoende volmachten beschikt.

Wanneer contractspartners fysiek aanwezig zijn bij de ondertekening van een overeenkomst, kan de hoedanigheid (met de daaraan gekoppelde bevoegdheden) gestaafd worden aan de hand van documenten voorzien van de geschreven handtekening. Dit systeem heeft – hoewel vrij omslachtig – zijn degelijkheid en betrouwbaarheid bewezen.

Wanneer partijen echter op afstand willen contracteren, ligt het anders. Naast de naam van de persoon, die door het gebruik van de eID met 100% zekerheid kan bewezen worden, hebben we geen informatie over de relatie die persoon X met zijn bedrijf heeft. Eventuele documenten die aantonen dat iemand gedelegeerd bestuurder is van een vennootschap, kunnen worden opgestuurd. Eventueel kan gedacht worden aan een elektronische kopie van de oprichtingsakte met geldige elektronische handtekening van de notaris. De vraag die nu bijna automatisch wordt gesteld is of de notaris via zijn eID kan geïdentificeerd worden als notaris. We kunnen ons nog meer vragen stellen over de persoon die ondertekent: wat is zijn hoedanigheid? Kan hij de rechtspersoon in om het even welke situatie rechtsgeldig binden? Is zijn mandaat ruim genoeg? Is het mandaat beperkt in de tijd?

Zolang voor deze problematiek geen totale oplossing wordt geboden, zal de eID als middel voor de elektronische handtekening niet gebruikt worden in de ondernemerswereld. In deze context moet erop gewezen worden dat er reeds andere oplossingen bestaan voor het plaatsen van een elektronische handtekening namens de onderneming. Een rechtspersoon kan hier houder zijn van een certificaat. De certificatiedienstverlener houdt een register bij met de identiteit en de hoedanigheid van de natuurlijke persoon die de rechtspersoon vertegenwoordigt en die gebruik maakt van de handtekening verbonden aan het certificaat, op zo een wijze dat bij elk gebruik van deze handtekening de identiteit van de natuurlijke persoon kan achterhaald worden (art. 8§3 Wet 9 juli 2001). Aan deze oplossing zijn echter nadelen verbonden: er is een omslachtige aanvraagprocedure, er is een kostprijs voor de gebruiker en men moet rekening houden met de technische aspecten bij het gebruik ervan.

Daarom worden twee mogelijke oplossingen met de eID gezien:

eID gelinkt aan databanken (trusted third parties)

Het systeem dat UNIZO voor ogen heeft, onderscheidt drie luiken: het systeem moet toelaten mandaten te verifiëren wanneer beroep gedaan wordt op elektronische diensten. Vervolgens moet het systeem daarbij ondersteuning bieden bij het registreren van de mandaten. Ten slotte moet het systeem in staat zijn hulp te bieden bij het doorheen de tijd beheren van mandaten.

Verificatie van mandaten (zie onder voor grafische weergave): wanneer een persoon X zijn eID gebruikt voor bijvoorbeeld het afsluiten van een contract met een persoon Y die handelt namens een vennootschap, moet persoon X kunnen verifiëren of persoon Y daartoe een mandaat heeft in de databank. Persoon X stelt de vraag aan de databank en de databank antwoordt. Idealiter wordt de toegang tot die databank verleend via een platform, via een portaalsite. De mandatendatabank kan door elke burger vrij geraadpleegd worden. Van zodra externe personen worden gemandateerd (bijv. boekhouders), bijvoorbeeld aan de hand van een volmacht, is het niet voor de hand liggend dat het grote publiek die informatie in de openbare databank kan raadplegen, maar wel de partij die met de betrokkene een rechtshandeling wenst te stellen. Wat betreft buitenlandse bestuurders en zaakvoerders kan de eID momenteel geen rol spelen.

32

Registratie van mandaten: logischerwijze moeten mandaten voorafgaand geregistreerd worden in die databank. Dit kan in principe gebeuren door de mandaatgever zelf (op basis van de akte die hem het mandaat verleent om zelf te mandateren), en dit aan de hand van zijn elektronische identiteitskaart. Momenteel wordt er in bestaande systemen (bijv. KSZ) gewerkt met een of meerdere ‘lokale beheerders’: een fysieke persoon binnen een onderneming wordt gemandateerd als contactpersoon met de databank

Beheren van mandaten: het ligt voor de hand dat het systeem dat als ‘authentieke bron’ wordt gebruikt, coherent moet zijn (niet versnipperd) en bijgevolg wordt beheerd en geëxploiteerd binnen de federale overheid om te waarborgen dat de continuïteit en de evolutie van de aangeboden basisdiensten gegarandeerd is.

Tenslotte moet het systeem ervoor zorgen dat de handeling waarvoor getekend wordt vaste datum krijgt door middel van een timestamp. Het elektronische document dat voor ligt wordt als het ware afgestempeld op hetzelfde moment waarop de handtekening wordt geplaatst. Dit is nodig omdat op die manier een ijkpunt wordt vastgesteld waartegenover de geldigheid van het mandaat kan worden nagekeken.

Aanmaken van mandaatcertificaten

Een andere mogelijke oplossing bestaat er in om mandaten te creëren met de eID. Met de eID wordt een procedure geïnitialiseerd die een mandatencertificaat (nieuwe elektronische handtekening) aanmaakt. Dit nieuwe certificaat heeft dezelfde functionaliteiten als het oorspronkelijke certificaat op de eID. Het nieuwe aan dit afgeleide certificaat is dat het informatie bevat over het gegeven mandaat. De in dit systeem ingebouwde veiligheid blijft echter de eID. De activering van het afgeleide certificaat gebeurt aan de hand van de originele eID. Het nieuwe certificaat is niet levensvatbaar zonder de eID die het aanmaakte.

Persoon X Persoon Y (namens vennootschap)

contract

Mandatendatabank

trusted third party

Controle mandaat /

Bevestiging mandaat

33



Dit systeem werkt niet met een centraal beheerde databank. Dit valt te betreuren, want de creatie van bijkomende certificaten vertaalt zich uiteraard ook in een hogere kostprijs voor de ondernemer. Het voordeel is wel dat deze werkwijze direct kan toegepast worden omdat niet op de overheid moet gewacht worden voor enige implementatie. (bron: Unizo)

2.8 Identiteitsfraude

Volgens het Identity Theft Resource Center zijn er vier categorieën van identiteitsfraude:

Financiële identiteitsfraude: iemand anders zijn identiteit gebruiken om goederen en diensten te verkrijgen

Criminele identiteitsfraude: je voordoen als iemand anders wanneer je betrapt wordt bij het plegen van een misdrijf

Cloning van de identiteit: in het dagelijks leven zich voordoen als iemand anders door informatie over die persoon te gebruiken

Commerciële identiteitsfraude: iemand anders zijn bedrijfsnaam gebruiken om krediet te krijgen

Er werd in 2004 door de federale politie een opmars van identiteitsfraude met dubbelgangers vastgesteld. Daarbij beschikt de fraudeur over de echte identiteitspapieren van iemand anders op wie hij lijkt, al dan niet dankzij een vermomming. Deze vorm van fraude is moeilijk te bestrijden omdat er geen valse papieren aan te pas komen.

In België is er echter wel een veel betere bescherming tegen identiteitsfraude dan bijvoorbeeld in het Verenigd Koninkrijk of de Verenigde Staten. Daar kan je immers met een telefoonrekening al je identiteit bewijzen. Bij ons wordt de identiteit bewezen met de identiteitskaart en bij diefstal kan de helpdesk van het Rijksregister door de politie verwittigd worden om de betreffende kaart op non-actief te zetten. Bij de aanvraag van een nieuwe kaart kunnen controlevragen gesteld worden om de vrager van de kaart te controleren. Maar blijkbaar is dit niet voldoende om een afdoende bescherming tegen identiteitsfraude te bieden. Want de sterke opmars van identiteitsfraude blijkt uit de statistieken van de Centrale Dienst voor de Bestrijding van Valsheden: in 2002 werden slechts tien gevallen vastgesteld, in 2003 waren het er 75 en in de eerste helft van 2004 waren het er al 92.

Ook banken kennen met problemen van identiteitsfraude. Zij zouden dus een grondige controle moeten kunnen doen van de identiteitsdocumenten die hen worden voorgelegd. De chip uitlezen en bijvoorbeeld vragen naar het adres is alvast een goede zaak.

Er is nood aan betere controles en identiteitspapieren met biometrische gegevens, andere dan de foto. Uit een interview met Fedict bleek dat het plaatsen van biometrische gegevens op het identiteitsbewijs binnen afzienbare tijd misschien verplicht zal worden door de EU. De vraag is nog welke gegevens er op de kaart zullen komen: vingerafdrukken, irisscan,…

34

2.9 Conclusies over de juridische context van de eID

Er is een gebrek aan een duidelijk en volledig juridisch kader van de eID: vooral op het vlak van standaarden, mandaten, archivering en e-timestamping moet nog wetgeving komen.

De regels rond privacy en het gebruik van het rijksregisternummer zijn dubbelzinnig. Er is geen duidelijkheid over wat mag en wat niet mag. Die duidelijkheid moet er dringend komen, vooral als het gaat om concrete toepassingen die interessant zijn voor ondernemers. Anders zal dit een inhibitor blijven voor het gebruik van de eID.

Het feit dat het rijksregisternummer enerzijds op de kaart staat en standaard wordt uitgelezen en anderzijds verweven zit in de certificaten zorgt voor problemen. Daarom worden enkele oplossingen voorgesteld voor de toekomstige kaarten:

o Encrypteren van de gegevens

o Zero-knowledge technologie

o Anonieme credentials

o De wetgeving aanpassen

Er is veel verwarring over de gegevens die op de kaart staan. Veel mensen denken dat je met de kaart ook toegang hebt tot gevoelige gegevens zoals het sociaal statuut, het strafblad, enz. Ook dit is een grote inhibitor voor het gebruik van de kaart.

België heeft dankzij de identiteitskaart en het systeem van het Rijksregister een redelijk veilig systeem als het aankomt op identiteitsfraude. Dit komt echter niet tot uiting in de berichtgeving. Veel mensen denken daardoor dat identiteitsfraude even reëel is als in de Verenigde Staten of het Verenigd Koninkrijk.

De elektronische handtekening is erg nuttig voor het verzegelen van de inhoud van een document, veel veiliger dan de schriftelijke handtekening.

35



3 Technische context van de eID

In dit hoofdstuk worden de volgende facetten behandeld:

Demystificatie van de eID: we proberen een antwoord te formuleren op de vragen:

o Wat is het? Technische aspecten van de eID

o Hoe gebruiken? Technische aspecten bij het gebruik van de eID

Technische problemen van de eID

Technologische mogelijkheden voor de volgende generatie kaarten

Conclusies over de technische context van de eID

3.1 Demystificatie van de eID

Voor deze studie hebben we een bevraging gehouden bij ondernemers en gebruikers. Bij de vraag aan de deelnemers of ze in het bezit waren van een elektronische identiteitskaart antwoordden een aantal mensen negatief. Als we dan onze kaart toonden, dan bleek dat zijzelf ook al in het bezit waren van de eID, maar niet beseften dat hun nieuwe kaart een elektronische identiteitskaart was. De elektronische gegevens zijn niet zichtbaar en dus abstract voor de meeste mensen. Het probleem bij niet zichtbare dingen is dat men er zich van alles bij gaat voorstellen.

Een belangrijke reden waarom het gebruik van de eID zo moeizaam op gang komt is omdat het heel complexe materie betreft. Er zijn enerzijds de juridische aspecten, en er is anderzijds de ingewikkelde technische context met niet alleen technologische aspecten, zoals chip met geheugen en verwerkingscapaciteit, middleware, ontwikkeling van applicaties, beveiligen van internetconnecties, enz, maar ook de zeer typische en moeilijke aspecten van cryptografie (certificaten, certificatieautoriteiten, authentificatie, elektronische handtekening, enz.).

Vandaar de titel van dit hoofdstuk “Demystificatie van de eID”. Een hoofdstuk waarin we proberen de lezer vertrouwd te maken met de technische context en een poging doen om de complexe materie op een begrijpbare manier voor te stellen.

3.1.1 Technische aspecten van de eID

Voor het tijdperk van de elektronische identiteitskaart, was er de papieren identiteitskaart. De papieren identiteitskaart werd afgeleverd door een beëdigd ambtenaar van de gemeente, die zich borg stelde dat de informatie op de identiteitskaart overeenstemde met de identiteit van de persoon – de gegevens op de kaart zijnde personalia, adres en foto. De papieren identiteitskaart werd aangemaakt in de gemeente van de hoofdverblijfplaats van de burger.

De evolutie van mobiliteit, het zakendoen en de technologie hebben de behoefte gecreëerd tot:

Een meer efficiënte manier om kaarten aan te maken

Een veiligere manier om kaarten aan te maken

Identiteitscontrole van op afstand

Een correcte en vereenvoudigde manier om gegevens elektronisch te verwerken.

Het resultaat is een kaart (een smartcard) die niet alleen visuele gegevens bevat maar ook elektronische gegevens, gestockeerd op een chip. Deze chip is een microprocessor met een

36

beperkt geheugen en een beperkte verwerkingscapaciteit. Het gehele proces van het aanmaken van de kaart gebeurt centraal en is onderworpen aan zeer strikte regels en controle. Dit is zeer belangrijk want fouten in en misbruik van de identiteit kunnen grote gevolgen hebben.

Voor het aanmaken en beveiligen van de elektronische gegevens en de kaart maakt men gebruik van 2 belangrijke concepten: het afleveren van een certificaat dat gekoppeld is aan een aantal sleutels. Samen vormen certificaat en sleutels een onweerlegbaar geheel met de identiteit van het individu. De sleutels worden gebruikt om informatie te coderen. De doelstelling van het coderen is niet zozeer om de informatie onleesbaar te maken, maar wel het onweerlegbaar verband leggen tussen de informatie en de identiteit van de persoon die de informatie verstuurt, zowel voor authenticatie (bewijzen wie je bent) als voor het elektronisch ondertekenen van een document. Alleen diegenen die beschikken over de juiste sleutel kunnen de informatie decoderen en zo de link leggen met de identiteit van het individu.

Verder wordt het lezen van de certificaten en de sleutels op de kaart beveiligd door een pincode. Hierdoor moet je fysiek aanwezig zijn en persoonlijk je toestemming geven voor het lezen van de informatie over de certificaten – natuurlijk op voorwaarde dat je je pincode niet aan derden vrijgeeft.

Certificaten Een certificaat is een getuigschrift van identiteit. Dit kan de identiteit van zowel een individu als een entiteit, bijvoorbeeld een organisatie, zijn. Als we het hebben over de certificaten van de eID, dan gaat het over de eerste soort, namelijk deze gelinkt aan een individu.

Het certificaat wordt als een computerbestand gestockeerd in een databank die publiek toegankelijk is. Als we in de context van deze studie spreken over certificaat, dan bedoelen we dus steeds een elektronisch of digitaal certificaat.

Het spreekt vanzelf dat het aanmaken van een certificaat met de grootste zorg dient te gebeuren. Het gehele proces om een certificaat aan te maken dient duidelijk beschreven te worden en moet strikt gevolgd worden bij uitvoering. De uitvoering is onderworpen aan strenge controles. De organisatie die het certificaat aanmaakt is de certificatieautoriteit (CA). Dit wordt uitvoerig beschreven in de paragraaf “Uitreiken van certificaten: rollen en verantwoordelijkheden”.

Het certificaat bevat o.a. volgende informatie:

Identificatienummer van het certificaat

Rijksregisternummer van het individu

Naam van het individu

Datum van aanmaak en geldigheidsduur van het certificaat

Publieke sleutel voor het decoderen van de informatie omtrent het individu (zie uitleg PKI in volgende paragraaf)

Publieke sleutel en identiteit van de certificatieautoriteit

Per individu worden 2 certificaten aangemaakt:

Certificaat voor authenticatie: om te bewijzen wie je bent, dus een onweerlegbaar verband met je identiteit

Certificaat voor de elektronische handtekening: deze legt op een elektronische manier een onweerlegbaar verband tussen de inhoud van een elektronisch document en je identiteit.

Naast de persoonlijke gegevens en de gedigitaliseerde foto van het individu, bevat de chip van de eID deze 2 certificaten plus bijhorende sleutels. Bij het uitreiken van de kaart heeft het individu de mogelijkheid om beide certificaten of enkel het certificaat voor authenticatie te activeren.

37



Het authenticatiecertificaat is beschikbaar op de gewone eID (dus vanaf 12 jaar) en ook op de Kids-ID voor kinderen vanaf 6 jaar. Het handtekeningcertificaat is beschikbaar vanaf 18 jaar.

Indien een certificaat niet meer geldig is, bijvoorbeeld als de eID vernietigd, verloren of gestolen is, dan komt het certificaat terecht op de “Certificate Revocation List” (CRL-lijst). Wanneer iemand dan toch probeert om, bijvoorbeeld met een gestolen kaart, zich te authenticeren of een elektronische handtekening te plaatsen, dan kan de handeling geblokkeerd of ongeldig gemaakt worden.

Hierbij merken we op dat een netwerkverbinding noodzakelijk is om de actuele versie van de CRL-lijst in “real time” te raadplegen. Dit gebeurt via OCSP, het Online Certificate Status Protocol. Een andere, minder veilige, manier is lokaal een kopie bij te houden van deze CRL-lijst, en deze op regelmatige tijdstippen te actualiseren. De CRL-lijst is momenteel ongeveer 36 MegaByte groot, daarom voorziet de certificatieautoriteit in een lijst die enkel de wijzigingen bevat. Deze incrementele lijst wordt om de 3 uur aangemaakt.

Publieke en Private Sleutels De Belgische overheid heeft, voor het beheer van de digitale certificaten, gekozen voor het systeem van Public Key Infrastructure (PKI).

Een PKI is een systeem met telkens 2 sleutels, die nauw met elkaar verbonden zijn. Elk paar is uniek en bevat aan de ene kant een publieke sleutel – iedereen kan die lezen – en aan de andere kant een private sleutel, die absoluut geheim is, en bij de eID geëncrypteerd is op de kaart. De eigenaar van het certificaat is de enige die de private sleutel in zijn bezit heeft. De private sleutel kan enkel en alleen op de kaart gebruikt worden, het is onmogelijk deze te verwijderen of te kopiëren naar een andere locatie.

De ontvanger van de boodschap zal de publieke sleutel gebruiken om de zender van de boodschap te identificeren. Op deze manier kan de ontvanger nagaan of de combinatie publieke sleutel en identiteit van de persoon in overeenstemming is met het certificaat. Dit biedt de nodige waarborgen dat de communicatie wel van een bepaalde bron afkomstig is en niet gewijzigd is t.o.v. het moment van verzending door deze bron.

De eID bevat voor elk certificaat een private en een publieke sleutel, dus zowel voor het authenticatiecertificaat als voor het handtekeningcertificaat.

De private sleutel voor authenticatie wordt gebruikt om je te identificeren. Met de publieke sleutel kan deze authenticatie dan door derden worden gecontroleerd.

De private sleutel voor de elektronische handtekening wordt gelinkt aan de inhoud van een document bij het creëren van een elektronische handtekening. Met de publieke sleutel kan de ontvanger van het document controleren of de elektronische handtekening klopt, dus de identiteit van de ondertekenaar en of de inhoud overeenkomt met hetgeen ondertekend werd.

De ganse infrastructuur van PKI (certificatieautoriteit, certificatendatabank, CRL-lijst, eID-kaarten, enz.) werd op punt gesteld en wordt onderhouden in opdracht van de overheid en is beschikbaar voor allerlei toepassingen, ook buiten e-government.

De Belgische overheid heeft Certipost aangeduid voor het aanmaken en beheren van de gekwalificeerde certificaten op de eID.

Smartcard technologie De Belgische eID is een op Java smartcard technologie gebaseerde kaart. Een smartcard bevat een microprocessor-chip. Deze technologie wordt ondermeer gebruikt voor:

Mobiele telefonie: GSM-operatoren gebruiken Java smartcards om gegevens op te slaan in een mobiele telefoon, de zogenaamde SIM-kaarten.

38

Financiële dienstverlening: kredietkaartmaatschappijen en banken gebruiken de technologie in de bankkaarten.

Elektronische identiteitsbewijzen: controle van de identiteit door bedrijven of publieke diensten. Zo kunnen algemene gegevens en/of biometrische data (zoals irisscans of vingerafdrukken) opgeslagen worden op de kaart.

Wereldwijd zijn er ongeveer een miljard smartcards in omloop. Elke kaart is persoonlijk en is beschermd door een pincode (PIN = Private Identification Number).

Smartcards zijn uitermate veilig doordat ze ingebouwde cryptografische mogelijkheden hebben en hierdoor de private sleutels op een beveiligde wijze opslaan.

Het is belangrijk dat deze private sleutels niet kunnen achterhaald worden. De private sleutel wordt geactiveerd door de pincode. Aangezien er 2 certificaten staan op de Belgische eID, zijn er in theorie 2 pincodes. De Belgische overheid heeft er tot nu toe voor gekozen om deze 2 pincodes aan elkaar gelijk te stellen, dit om verwarring bij de bevolking te vermijden.

Uitreiken van certificaten: rollen en verantwoordelijkheden De CA (Certification Authority of certificatieautoriteit) is de uitgever van digitale certificaten. De CA geeft een certificaat pas uit nadat de aanvrager van een certificaat op een aantal punten gecontroleerd is. De afkomst van een certificaat wordt onweerlegbaar verzekerd doordat iedere CA de certificaten die ze uitgeeft elektronisch ondertekent. Hoe strenger de controle is die voorafgaat aan het uitgeven van een certificaat, hoe waardevoller het certificaat is.

De CA vervult een vertrouwensrol en iedereen die de certificaten gebruikt moet kunnen inzien welke normen de CA hanteert. Daarom stelt de CA een Certification Practice Statement op, waarin iedereen kan nalezen welke regels de CA hanteert.

CPS (Certification Practice Statement): Dit is het document waarin beschreven is welke procedures gehanteerd worden bij het uitgeven, beheren, intrekken en verlengen van certificaten. In de CPS kan een gebruiker van certificaten terugvinden hoe zorgvuldig een CA omgaat met certificaten in zijn dienstverlening. Een gebruiker kan aan de hand van het CPS dus een oordeel vormen over de betrouwbaarheid van de CA. In de CPS wordt een uitvoerige beschrijving gegeven van de gehanteerde procedures m.b.t. het beheer en management van certificaten, de modaliteiten van periodieke audits die dienen uitgevoerd te worden, de fysieke infrastructuur en beveiliging, de controle op het personeel, enz.

Controle van CA’s: de certificatenketen: Het principe van een authenticiteits- of certificatieketen bestaat erin dat elke hogere autoriteit de onderliggende autoriteiten controleert. Deze controles gebeuren op basis van de opgestelde CPS (Certification Practice Statement). Op het hoogste niveau wordt de authenticiteit verzekerd door een Root Certification Authority. Voor de Belgische eID is dit de Belgium Root CA.

o Root Certification Authority (Root CA): dit is de Certification Authority van de overheid die het hoogste (of stam-) certificaat uitgeeft aan de ondergeschikte CA’s.

39



o Certification Authority (CA): produceert de digitale certificaten. De productieomgeving van certificaten bestaat uit een zwaarbeveiligde ICT-omgeving (rekencentrum) die veelal 24/7 wordt beheerd. De ICT-beheerprocessen van de CA moeten garanderen dat de diensten voortdurend beschikbaar en uiterst betrouwbaar zijn. Dit stelt hoge eisen aan zowel de gebruikte ICT-middelen als aan de beheerorganisatie van de CA.

o Registration Authority (RA): De Registration Authority is verantwoordelijk voor het uitvoeren van het registratieproces. Dit proces bestaat uit de registratie van de aanvraag, de verificatie van de identiteit van de aanvrager en de uitgifte van het certificaat aan deze persoon Het vertrouwen dat in een certificaat kan worden gesteld, is voor een groot deel bepaald door de kwaliteit van het registratieproces.

o Certification Service Provider (CSP): De taken van de RA en CA kunnen door verschillende organisaties worden uitgevoerd. Er is echter maar één verantwoordelijke partij waaronder dit alles gebeurt en dat is de Certification Service Provider (CSP). De CSP is de partij die het uitvoerende deel van een PKI invult op basis van het door de Policy Autoriteit uitgewerkte beleid.

o Policy Authority (PA): Om te garanderen dat er sprake is van één constant betrouwbaarheidsniveau is een normenstelsel nodig waaraan alle binnen de PKI opererende partijen zich houden. Om de naleving van dat normenstelsel te garanderen moet er toezicht zijn op de naleving ervan. Er is daarom een orgaan ingesteld dat verantwoordelijk is voor de kwaliteitsborging binnen de PKI. Dit orgaan wordt de Policy Authority (PA) genoemd.

Het certificaat op de Belgische eID is het “Citizen Certificate” dat zowel het authenticatie- als het handtekeningcertificaat bevat. Het “Citizen Certificate” is gelinkt aan een “Belgian Root Certificate”, op het hoogste niveau.

De actoren die betrokken zijn bij het certificatieproces van de Belgische eID zijn:

Root Certification Authority (Root CA): Belgium Root CA

Certification Authority (CA): Certipost

Registration Authority (RA): Gemeentes (handelen voor het Rijksregister)

Certification Service Provider (CSP):

o Fedict: voor het “Belgian Root Certificate”

o Certipost: voor het “Citizen Certificate”

Policy Authority (PA): Fedict

Boven de Belgian Root CA is er nog het GlobalSign certificaat. Dit is nodig omdat in de meeste browsers (Microsoft Explorer, Firefox, enz) dit certificaat aanwezig is en door de browsers erkend wordt als zijnde een betrouwbare autoriteit.

In de bijlage worden enkele belangrijke certificatieautoriteiten besproken, o.a. Certipost, GlobalSign, VeriSign en Getronics Pinkroccade.

40

3.1.2 Technische aspecten van het gebruik van de eID

In het hoofdstuk “Algemene context van de eID” is aangegeven voor welke doeleinden we de elektronische identiteitskaart kunnen gebruiken, namelijk voor identificatie, authenticatie en de elektronische handtekening.

Vooraleer we de eID kunnen gebruiken, moet er een infrastructuur opgezet zijn.

Het is duidelijk dat de elektronische gegevens van de kaart niet kunnen ingelezen worden zonder een eID-kaartlezer en de bijhorende kaartlezersoftware.

Daarnaast moet de nodige software geïnstalleerd worden om de link te maken tussen de eID en de eID-applicaties. Deze software noemen we middleware.

De eID-applicaties zullen de gegevens gebruiken voor het vervullen van bepaalde taken, bijvoorbeeld een aanwezigheidsbadge drukken, registratie van deelnemers, toegang verlenen tot bepaalde gegevens, enz.

Tenslotte zal er een netwerkverbinding noodzakelijk zijn om gegevens met, van en over andere gebruikers uit te wisselen.

De nodige aandacht dient besteed te worden aan de compatibiliteit en de standaarden wanneer men gebruik maakt van meerdere kaarten of werkt in een internationale context.

3.1.2.1 eID-kaartlezers

De Federale overheidsdienst ICT (Fedict) maakt een selectie en homologeert kaartlezers die kunnen gebruikt worden in de context van eID.

Fedict maakt onderscheid tussen volgende soorten kaartlezers.

Gewone eID-kaartlezer zonder numerisch toetsenbord: de pincode wordt ingetypt op het toetsenbord van de computer (ook wel “transparante kaartlezer” genoemd). Het voordeel is dat deze kaartlezer makkelijk verkrijgbaar en goedkoop is. Het nadeel van deze kaartlezer is dat je pincode zou kunnen onderschept worden door zogenaamde "spyware" programma’s.

eID-kaartlezer met numerisch toetsenbord: bij deze kaartlezer wordt de pincode ingetypt op het toetsenbord van de kaartlezer, dus niet via het toetsenbord van de computer (ook wel “secure pinpad cardreader” genoemd). Deze kaartlezers laten toe dat gebruikers in een winkel of aan een balie in alle discretie de pincode kunnen intikken bij authenticatie.

Kaartlezers die geïntegreerd zijn in het toetsenbord van de computer: meestal gaat het om een gewone kaartlezer die in de behuizing van het toetsenbord zit. Er bestaan eveneens toetsenborden met een kaartlezer met klavier. Dit wordt in de productbeschrijving meestal aangeduid met “secure PIN entry”.

41



Kaartlezers die geïntegreerd kunnen worden in een draagbare computer: deze kunnen ingebouwd worden in een zogenaamd PCMIA slot. Vandaag beschikken sommige computers reeds over een ingebouwde kaartlezers. Bij oudere modellen wordt de PCMIA-kaart afzonderlijk aangekocht en ingebouwd.

Mobiele kaartlezers: worden gebruikt door o.a. de politie voor het lezen van gegevens (voornamelijk het adres). Er zijn types op de markt die enkel gegevens kunnen lezen, andere kunnen ze ook opslaan en nadien, bij connectie met een computer, uitwisselen, bijvoorbeeld om een controle uit te voeren van de geldigheid van een certificaat.

eID-Digipass: Er is een eID-Digipass op de markt die dynamische one-time-paswoorden genereert, maar bij deze Digipass wordt de eID enkel gebruikt om het toestel te deblokkeren, de private sleutel op de eID wordt nog niet gebruikt. Dit toestel kan in principe gebruikt worden in combinatie met een PKI-systeem voor de eID, voor het controleren of de certificaten op de eID nog geldig zijn bijvoorbeeld, maar volgens de producent is er hier voorlopig geen vraag naar. Meer uitleg over de verschillende types Digipass is te vinden in het hoofdstuk “Economische context van de eID”, in de paragraaf over “Home banking”.

Op de website van Fedict “www.cardreaders.be” vindt u een overzicht van de goedgekeurde types kaartlezers met per type een overzicht van de specificaties en een lijst van aanbieders van deze kaartlezers Voor de meeste van deze kaartlezers is een installatie van middleware en kaartlezersoftware noodzakelijk.

3.1.2.2 Middleware: interface tussen de eID en de eID-applicatie

Leveranciers van kaartlezers bieden specifieke middleware aan voor het aanspreken van hun hardware. De meeste producenten van eID-applicaties integreren deze middleware in hun applicaties. Er bestaan ook applicaties waar vooraf geen middleware dient geïnstalleerd te worden, wat op zich gebruiksvriendelijk is. Een voorbeeld is digIDs, een eID-platform voor webapplicaties. Omdat de middleware geïntegreerd wordt in de webapplicatie zelf moet de eindgebruiker niet zelf enige middleware installeren, de benodigde software wordt automatisch vanuit de applicatie opgeroepen. De gebruiker hoeft enkel naar de website te gaan, zijn eID in de kaartlezer te steken en de registratie wordt uitgevoerd.

Een toepassing die gebaseerd is op het digIDs platform is “Teleticketservice” (voor het online reserveren van tickets voor o.a. concerten en voetbalmatchen). Het wordt ook gebruikt door “TMAB Business Events” voor de online inschrijving voor evenementen, bijvoorbeeld het e-Government Congres.

Fedict biedt ook middleware aan. Als onderdeel van het homologatieproces van de kaartlezers wordt door Fedict gecontroleerd of de kaartlezers conform zijn aan deze middleware en vice versa. Hier dient opgemerkt te worden dat de middleware van Fedict enkel de eID ondersteunt en geen andere smartcards.

Afspraken en standaarden zijn belangrijk om het werk voor deze integratie te vereenvoudigen en standvastiger te maken.

http://www.cardreaders.be%E2%80%9D

42

Standaarden voor Interfaces tussen smartcard en applicaties

Om toepassingen met smartcards te kunnen laten communiceren met applicaties bestaan er 2 standaarden:

De PKCS#11 standaard, ook bekend onder de naam CrypToki, ofwel Cryptographic Token Interface. Deze standaard is ontwikkeld door het bedrijf RSA en is aan het publieke domein overhandigd. PKCS#11 middleware is voor veel smartcards beschikbaar op veel platformen als Linux, Windows, BSD, UNIX etc.

De CSP standaard (Cryptographic Service Provider), ook bekend als MS CAPI. Deze standaard is ontwikkeld door Microsoft en is alleen beschikbaar op Windows platformen. Een applicatie zal deze CSP nooit rechtstreeks aanspreken, maar steeds via een interface, namelijk de Crypto API (Application Programming Interface).

De figuur hierboven is een schematische weergave van de opbouw van de componenten bij het ontwikkelen van applicaties die gebruik willen maken van de gegevens op de smartcard.

Software van de overheid voor de eID

De overheid (Fedict) stelt software ter beschikking voor het gebruiken van de eID en voor het ontwikkelen van applicaties voor de eID. Deze software is gebaseerd op bovengenoemde standaarden (PKCS#11 en CSP) voor de cryptografische functies van de smartcard (authenticatie en elektronische handtekening). Voor het gewoon uitlezen van gegevens wordt een PKCS#15 interface gebruikt.

Belgium Identity Card Run-time:

Dit is een applicatie om de inhoud van de eID uit te lezen, te valideren en af te drukken. Deze software bevat drie functionaliteiten die in één pakket gedownload kunnen worden:

43



Card Service: deze component zal zich op uw computer installeren en ieder ingebrachte kaart in de chipkaartlezer detecteren en, indien het over een eID gaat, al de beschikbare functies aan de middleware presenteren. Deze module bevat ook functionaliteiten die beletten dat een indringer uw eID gebruikt zonder dat u het weet.

Data Middleware: deze component zal communiceren met de ‘Card Service’ om de identiteitgegevens in de kaart op een gestandaardiseerde manier te presenteren aan de toepassingen die toegang tot deze informatie willen krijgen.

Crypto Middleware: deze component zal communiceren met de ‘Card Service’ om de cryptografische functies te activeren voor de authenticatie en de handtekening die de invoer van een pincode vereisen.

Belgium Identity Card Developer’s Kit:

Deze Software Development Kit (SDK) voor de eID is bestemd voor ontwikkelaars die bestaande toepassingen wensen te interfacen en/of nieuwe toepassingen wensen te creëren met de eID. Het bevat o.a. de nodige software bibliotheken (gebruik makend van API’s: Application Programming Interfaces) voor de compilatie van programma’s alsook voorbeelden van broncode. Het wordt ter beschikking gesteld in versies voor Microsoft, Mac en Linux.

Generieke benadering van Identity & Access Management – ondersteunen van meerdere platformen

In deze paragraaf gaan we dieper in op “Identity & Access Management” oplossingen die meerdere kaarten ondersteunen: eID’s uit meerdere landen of andere smartcards zoals bijvoorbeeld Bankcontact, Isabel, Visa of USB tokens.

Meestal worden dergelijke oplossingen aangekocht in het kader van een globale aanpak van identiteits- en toegangsbeheer. Meestal door grotere bedrijven of organisaties die dit als behoefte ervaren en hiervoor een relatief groter budget kunnen aanwenden. Het voordeel van deze platformen is dat ze volledig geïntegreerd kunnen worden in totaaloplossingen voor de organisatie (de platformen worden meestal volledig op maat van de organisatie ontwikkeld) en dat ze openstaan voor andere kaarten buiten de eID.

Merk op dat de middleware van de overheid (Fedict), en bijgevolg alle applicaties die op basis van die middleware ontwikkeld worden, enkel de Belgische eID ondersteunen. Dit sluit niet uit dat Fedict – in opdracht van andere federale overheidsdiensten – applicaties ontwikkelt die ook het gebruik van andere kaarten, zoals de Isabel-kaart, toelaten.

Voorbeelden van componenten binnen Identity & Access Management applicaties zijn:

eID Safe Sign Identity Client (AET): cryptografische middleware voor sterke authenticatie met smartcards, USB tokens en/of SIM-kaarten in PKI-systemen Deze technologie werd gebruikt in opdracht van de Vlaamse overheid bij de gemeenteraadsverkiezingen voor de communicatie

44

tussen EDS-Telindus en de voorzitters van de stembureaus. Via de eID-kaart van de voorzitter werden de kieslijsten via een beveiligde online-verbinding met elektronische handtekening doorgestuurd.

PK Suite (Intesi): biedt de mogelijkheid om PKI te integreren in software-toepassingen, met name voor identificatie, authenticatie en elektronische handtekening via de eID of andere smartcards, met inbegrip van time stamping en certificatenbeheer.

Sommige softwareleveranciers bieden “service packs” aan, die als componenten kunnen geïntegreerd worden in een ruimere applicatie. Gebruikers hoeven dan slechts een minimale inspanning te leveren om de eID te integreren. Een voorbeeld is het “eID Service Platform” van “the eID Company” die maatwerk aanbiedt op basis van specifieke vereisten. Ze ontwikkelen zogenaamde beroepen “packs” voor bijvoorbeeld fleetmanagers, of verzekeringsmakelaars, enz. of functie “packs” die bijvoorbeeld instaan voor leeftijdscontrole, controle van de postcode, enz.

Een voorbeeld van een applicatie die gebruik maakt van het concept “Single Sign-On” (SSO) is “OneSign” van Imprivata. Dit is een authenticatieplatform waar met één enkel paswoord (of via de eID) ingelogd kan worden op het netwerk en toegang kan worden verleend tot alle applicaties. Voor elke applicatie worden in de achtergrond unieke, sterke wachtwoorden aangemaakt en eventuele paswoordveranderingen worden automatisch doorgevoerd voor de gebruikers. Hierdoor worden problemen met verschillende login namen en paswoorden opgelost. OneSign voorziet bovendien in alle logging en rapportering van de acties die door de gebruikers ondernomen worden.

Bouwen van applicaties voor de eID

Om applicaties te bouwen die gebruik maken van de eID kan gewerkt worden met de door de overheid (Fedict) aangeboden middleware. Deze heeft echter een aantal beperkingen:

Ze is enkel bruikbaar voor de eID. Indien een producent een applicatie wil ontwikkelen die meerdere smartcards ondersteunt, zal hij gebruik moeten maken van andere commerciële middleware, zoals hierboven beschreven.

Ze biedt een goede ondersteuning voor PC-omgevingen, maar voor andere omgevingen zijn er meer aanpassingen nodig. Zoals uit de case study van iDTV blijkt (zie hoofdstuk “Case studies”) bestaat er bijvoorbeeld nog geen aangepaste middleware voor ontwikkelaars die eenvoudige integratie van de eID in interactieve digitale televisie toelaat.

België is pionier in het uitrollen van de eID op een zo grote en algemene schaal. Veel applicaties zijn specifiek voor de Belgische omgeving (denken we maar aan alle e-government toepassingen) of zijn “first of a kind”. Slechts weinig standaarden werden opgezet, de omgeving bevindt zich nog in haar kinderschoenen.

Het adapID framework

De overheid investeert in onderzoek voor het bevorderen van een generieke aanpak en ontwikkeling van componenten zodat niet telkens “het warm water opnieuw moet uitgevonden worden”. In het adapID-project (advanced applications for electronic IDentity cards in Flanders) wordt hiervoor een raamwerk opgesteld. Dit adapID framework zal applicatie-ontwikkelaars toelaten om privacy-gevoelige applicaties te bouwen.

Het framework wordt schematisch voorgesteld in onderstaand schema.

45



Bron: Presentatie tweede gebruikerscommissie e-IDea (30-01-08) – Kristof Verslype

(voorlopige versie – work in progress)

Het raamwerk bestaat uit de volgende componenten:

Credential Manager: Voor het beheren van credentials van gebruikers (credentials zijn anonieme certificaten die toelaten om selectief gegevens vrij te geven die niet gekoppeld worden aan de identiteit, zie ook nog verder in deze studie). Hier kan bijvoorbeeld een module van een trusted third party (bijvoorbeeld Certipost) worden ingeplugd.

Credential Handler: Zorgt ervoor dat de credentials kunnen gebruikt worden.

Privacy Manager: Houdt bij aan welke partij welke informatie werd vrijgegeven en geeft bijvoorbeeld ten gepasten tijde een waarschuwing.

Deanonymizer: Tenietdoen van anonimiteit bij misbruik (deze component zal vermoedelijk worden ondergebracht in de Credential Handler).

Communication: Voor het aanbieden van integriteit en confidentialiteit van het netwerkverkeer. (bijvoorbeeld het ondersteunen van beveiligde connecties waarbij het IP-adres verborgen wordt gehouden).

TAS: Trusted Archival Service: Ter bescherming van de integriteit van elektronische documenten. Gebruikmakend van een TAS kan de integriteit van documenten langer verzekerd worden dan de levensduur van het certificaat waarmee het document getekend is (het ondertekeningscertificaat op de eID is bijvoorbeeld slechts 10 jaar geldig).

Policy Manager: Stelt standaardregels op voor het al dan niet tonen van bepaalde (delen van) credentials. Indien de policy manager zelf geen beslissing kan nemen, zal de gebruiker moeten beslissen welke attributen van bepaalde credentials getoond worden.

De bedoeling van het adapID-project is niet om een commercieel softwareproduct af te leveren, maar wel een raamwerk waar allerlei providers kunnen op ingeplugd worden. Deze providers bevatten implementaties voor een of meer componenten. Zo kunnen bijvoorbeeld verschillende implementaties voor de Credential Handler ervoor zorgen dat je de Belgische eID, de Oostenrijkse

46

eID of bijvoorbeeld de standaard x.509 certificaten kunt gebruiken. Die providers bevatten niet noodzakelijk de volledige implementatie, maar kunnen ook bijvoorbeeld ook een onderdeel bevatten, zodat bijvoorbeeld de bestaande middleware voor de Belgische eID in het raamwerk geïntegreerd kan worden.

Om de gebruiksvriendelijkheid van het framework te vergroten zal er nog een extra laag worden gebouwd bovenop de functionele laag, zodat zo weinig mogelijk van de onderliggende lagen zichtbaar zijn voor de applicatie-ontwikkelaars.

Het adapID-project wordt in zijn volledigheid besproken in het hoofdstuk “Wetenschappelijk onderzoek betreffende de eID”.

3.1.2.3 Overzicht van eID-applicaties Een overzicht en beschrijving van een aantal bestaande applicaties en een categorisering ervan is te vinden in het hoofdstuk “Analyse van eID-toepassingen”.

3.2 Technische problemen van de eID

Uit gesprekken met de diverse bevraagde actoren (producenten, gebruikers en potentiële gebruikers van eID-toepassingen) en geconsulteerde bronnen volgt hierna een opsomming van geobserveerde technische remmende factoren voor het gebruik van de eID. Dit zijn uiteraard subjectieve argumenten die vanuit een welbepaalde context naar voor werden geschoven. Een diepergaande analyse van deze observaties is dan ook nodig om tot de kern van de zaak te komen.

Complexe technische materie:

Voor de meeste mensen is het bijzonder moeilijke materie: gewoon iets installeren op een computer is voor veel mensen al zeer ingewikkeld.

Er is een grote kloof tussen internet-gebruikers en internet-analfabeten.

Men moet beschikken over alle tools, die niet standaard aanwezig zijn op de computer: kaartlezer, kaartlezersoftware, middleware, applicaties, certificaten enz.

Men moet de juiste versie van de middleware installeren en zelf het initiatief nemen om de software te onderhouden en nieuwe versies te downloaden.

Er is geen helpdesk voor de burger, behalve voor het melden van een verloren of gestolen kaart.

Onvoldoende gebruik van eID-kaartlezers:

Uit diverse studies blijkt dat slechts een kleine minderheid van de bezitters van een eID ook beschikt over een kaartlezer. Dit heeft als gevolg dat slechts een beperkt deel effectief gebruik kan maken van hun eID.

Uit diezelfde studies blijkt bovendien dat de gebruiker niet wenst te investeren in een kaartlezer indien hij/zij er geen persoonlijk voordeel uit kan halen. Het creëren van een win-win-situatie is dus duidelijk bepalend voor het succes.

Om deze reden heeft de overheid het initiatief genomen om gratis kaartlezers te verspreiden onder de bevolking: aan alle 12-jarigen werd bij het uitreiken van de nieuwe eID een gratis kaartlezer gegeven. De gebruiker moest echter zelf instaan voor de installatie van de middleware. Voor een 12-jarige, noch voor een volwassene met weinig kennis van informatica, is dit geen sinecure. De handleiding is niet aangepast aan de kennisomgeving van de 12-jarige en een helpdesk is niet beschikbaar. De overheid is uitgegaan van een zekere ICT-kennis die in het algemeen niet aanwezig is bij een 12-jarige.

47



Mankementen met technische oorsprong:

De volgende observaties werden gemeld:

“Chip komt los”. Het blijkt inderdaad dat er een fabricagefout is opgetreden bij het eerste lot van 100 000 kaarten. De verkeerde lijm werd gebruikt voor het bevestigen van de chip op de kaart. Op dit moment (april 2008) zijn er 7 miljoen kaarten verspreid, dus is het aantal mankementen minder dan 2%. Gezien het kleine percentage heeft de overheid ervoor gekozen om die kaarten niet terug ter roepen, maar ze gratis te vervangen bij het binnenbrengen van de defecte kaart.

“Slijtage van de contacten”. Het feit dat er telkens contact gemaakt moet worden met de eID bij het uitlezen van de informatie, maakt dat de contacten gevoelig zijn voor slijtage. Of het contact kan verstoord worden door de aanwezigheid van teveel vocht of een slechte implanting van de kaartlezer. Een van de problemen is het vinden van geschikte en betaalbare kaartlezers die blijven werken in diverse weersomstandigheden. Bijvoorbeeld bij gebruik van de eID als toegangsbadge in recyclageparken (zie case study “e-portemonnee”).

De perceptie die men heeft van de technische mankementen is groter dan het effectieve aantal mankementen. Dit wordt ook duidelijk uit de enquêtes (zie verderop). De redenen hiervoor zijn de volgende:

Voor sommige toepassingen is een grote beschikbaarheid vereist. Bijvoorbeeld voor fysieke toegangscontrole met de eID. Zelfs bij een klein percentage van technische mankementen wordt dit ervaren als een handicap en is men verplicht om een parallel systeem op punt te zetten, bijvoorbeeld met andere badges. Een aantal ondernemers die gecontacteerd werden, heeft daarom bewust niet gekozen voor de eID maar wel voor een alternatief systeem waarbij ze zelf de controle over de badges behouden.

Een tweede reden voor het verschil tussen perceptie en werkelijkheid ligt in het feit dat mensen een optredend probleem beter zullen onthouden dan al die keren dat het goed is gegaan. Uit de interviews is gebleken dat een aantal mensen “gehoord hadden van kaarten waar de chip was uitgevallen”. Eén enkel voorval kan dus meermaals worden opgesomd in interviews.

We hebben gezocht naar de onderliggende oorzaken van deze geobserveerde technische mankementen en we kunnen besluiten dat er geen fundamenteel probleem is met de eID-kaart zelf.

Problemen met traagheid:

Verschillende malen werd opgemerkt dat de systemen niet snel genoeg zijn bij grote toeloop en tijdsdruk.

De kaartlezer moet een nieuwe kaart identificeren – eventueel initialiseren

De applicatie moet de gegevens uitlezen en eventueel de certificaten verifiëren

De oplossing ligt in:

Snellere hardware

Betere middleware

Geoptimaliseerde infrastructuur (bandbreedte, capaciteit van de servers, enz.)

Uiteraard is “traagheid” opnieuw een subjectieve observatie die voor discussie vatbaar is.

Problemen met beperkte compatibiliteit voor bepaalde platformen:

De ontwikkelaars van software-oplossingen zullen zich eerst richten op de meest gebruikte platformen (bijvoorbeeld MS Windows) en pas in tweede instantie op minder frequent gebruikte omgevingen (bijvoorbeeld Mac).

48

Problemen met privacy:

Uit de gesprekken blijkt dat het elektronisch lezen en opslaan van gegevens voor de meeste ondernemers niet gezien wordt als een schending van de privacy. Maar omdat de Privacycommissie strenge normen hanteert bij het verlenen van toestemming voor het gebruik van het rijksregisternummer, worden hierover vragen gesteld. Onderstaande observaties werden gemeld door diverse partijen, o.a. onderzoekers naar privacy-gevoelige applicaties zoals adapID en eIDea:

De kaart wordt altijd volledig uitgelezen. Er is momenteel geen mogelijkheid om de toegang tot gegevens te beperken.

o Indien een programma, bijvoorbeeld een internet chatprogramma, vraagt om uw eID-kaart in de kaartlezer in te brengen om uw leeftijd te bepalen, is er niets dat dat programma tegenhoudt om zonder medeweten van de gebruiker andere gegevens (foto, adres, ...) uit de kaart te lezen.

o Indien de gemeente beslist om een eID-kaartlezer te plaatsen aan de ingang van het stedelijk zwembad omdat jongeren en inwoners van de eigen gemeente minder moeten betalen, dan is er niets dat de gebruiker kan garanderen dat enkel het adres of de leeftijd van deze kaart opgevraagd worden.

Het komt er dus op neer dat er met de huidige eID geen manier is om persoonsgegevens te verbergen. Hierbij dient opgemerkt te worden dat dit probleem ook bestond bij de papieren versie van de identiteitskaart, daar konden ook alle gegevens – inclusief het rijksregisternummer – gelezen worden.

De certificaten op de eID bevatten naast de naam ook het rijksregisternummer. Bij het elektronisch ondertekenen van een e-mail wordt dus ook het rijksregisternummer meegestuurd.

De certificaten worden meestal standaard opgeslagen op de computer waar je de eID gebruikt. Het is het beste om ze na afloop te verwijderen.

De optie om de geldigheid van de certificaten via OCSP en CRL te controleren staat standaard af in de middleware van de overheid. Een aanbeveling is dus om deze standaard aan te zetten.

Problemen met onveilige hardware en software:

Onderstaande observaties m.b.t. het gevaar van “diefstal van identiteit” in het kader van het ontwikkelen van privacy-gevoelige applicaties voor de eID, werden gemaakt tijdens de werkgroep van eIDea:

Bij het ingeven van de pincode op het toetsenbord van een computer (bij kaartlezers die niet over een eigen display en toetsenbord beschikken) kan de pincode geregistreerd worden door eventuele “spyware” in de computer.

o Zo kan bijvoorbeeld een kwaadaardig programma je ongemerkt een document laten ondertekenen terwijl je denkt dat je enkel aan het inloggen bent.

o Ook bij het ondertekenen van een document ben je niet zeker dat je het document ondertekent dat op het scherm te zien is, op de achtergrond kan een kwaadaardig programma je een ander document laten tekenen.

Belangrijk is dat je vertrouwen hebt in de computer waar je je pincode intypt en in de middleware die gebruikt wordt. Er is daarom nood aan “certified middleware”. Daarnaast werk je best met een pincode eID-kaartlezer (een kaartlezer met display en toetsenbord) of nog beter met een Digipass (creatie van dynamische “one-time paswoorden” of “challenge-response authenticatie”).

De kaartlezers met display en toetsenbord krijgen geen speciale aandacht van de overheid. Hier kan de overheid een belangrijke rol spelen.

49



Webservers moeten zich aanbieden aan de gebruiker als vertrouwde derde partij. Nu krijg je als gebruiker soms de boodschap “Vertrouw je het certificaat?”. Het is niet aan de gebruiker om dit te beslissen. Het is aan de webservers om te zorgen voor betrouwbaarheid.

Verschillen op Europees niveau:

Per land zijn de aanvraag- en certificatieprocedures verschillend. Ook is er geen uniforme manier waarop de certificaten en het PKI-systeem beheerd worden (outsourcing, insourcing,..). Elk land hanteert bovendien andere identificatiesystemen. Dit heeft als resultaat dat de waarde van het certificaat verschillend kan zijn van land tot land.

Er is geen Europese Root-CA:

Als gevolg hiervan is de elektronische handtekening niet bruikbaar over de landsgrenzen heen. Er zijn diverse initiatieven hierrond, maar tot op vandaag is er hiervoor geen oplossing gevonden.

3.3 Technologische mogelijkheden voor volgende generatie kaarten

Het is duidelijk dat in het zoeken naar nieuwe technologieën, men op een of ander manier wenst tegemoet te komen aan de bestaande problemen en tekortkomingen van eID, de middleware en de applicaties.

RFID (Radio Frequency Identification) RFID (identificatie met radiogolven) is een technologie om van op een afstand informatie op te slaan en te lezen van zogenaamde RFID-"tags" die op of in objecten zitten. Deze technologie kan een antwoord bieden op het probleem van de contactchip en de problemen met de snelheid.

Deze RFID-tags kunnen passief zijn of actief. Passieve tags hebben geen eigen energiebron: ze benutten het elektromagnetische veld van een lezer om een stroom te induceren in de chip. Hierdoor gaat het signaal niet over een grote afstand (van enkele centimeters tot ongeveer twee meter). Actieve tags hebben zelf een batterij om de chip te activeren en kunnen een signaal over een grotere afstand (van zo'n 100 meter tot zelfs een paar kilometer) uitzenden.

Een tweede onderscheid is de lees- en schrijfmogelijkheden. Er zijn namelijk RFID-tags met enkel leesmogelijkheden en RFID-tags met lees- en schrijfmogelijkheden.

RFID-tags onderscheiden zich ook door de gebruikte frequentie. In het algemeen kan gezegd worden: hoe hoger de frequentie, des te groter ook het leesbereik. Hogere frequenties hebben echter meer moeite met metaal en vocht.

Ook de hoeveelheid data kan verschillen, van enkele bits tot meer dan 1 megabyte. Al deze mogelijkheden vertalen zich uiteraard ook in de prijs: een eenvoudige passieve tag kost niet meer dan dertig eurocent. Gecompliceerde RFID-tags die bijvoorbeeld gekoppeld zijn aan sensors die ook nog de temperatuur of vochtigheid meten zijn aanzienlijk duurder (soms wel tot 100 euro per stuk).

Het is gebruikelijk om in het geheugen van de tag een uniek willekeurig identificatienummer op te slaan (GUID: Globally Unique Identifier).

Voordelen van RFID zijn:

Er is geen fysiek contact nodig, zoals bijvoorbeeld bij bankkaarten, en veel grotere afstanden zijn mogelijk dan bij de barcode.

Goed bestand tegen vocht, weersinvloeden en vuil

Vele honderden codes kunnen in een of enkele seconden worden gelezen – dus snel

50

Nadelen van RFID zijn:

De lees/schrijfmogelijkheden van de RFID-tag kunnen het mogelijk maken dat er ongemerkt fraude wordt gepleegd, dus er kunnen problemen rijzen met de privacy.

Door het grote zend/ontvangbereik kan er 'collision' optreden: er worden niet bedoelde RFID-tags gelezen die de gegevensverwerking kunnen verstoren.

Veel informatiesystemen zijn nog niet ingericht om de overvloed van gegevens te kunnen verwerken. Om dit op te vangen wordt specifieke middleware ontwikkeld.

De RFID-technologie is duur.

Gecompartimenteerde geheugenchips en multi-application smartcards Door de evolutie van de technologie en de doorgedreven standaardisering van het operating systeem van de smartcard, is het vandaag mogelijk om meerdere applicaties op één smartcard, met bijhorende specifieke data, te installeren.

Een goede illustratie is de Bio-Java Card, op punt gesteld door het “Institute for Infocomm Research” in Singapore, die hieronder schematisch wordt weergegeven:

Anonieme credentials Een anoniem credential is een andere benaming voor een anoniem certificaat en is een antwoord op het probleem dat ontstaat doordat het rijksregisternummer en de naam van de persoon in het certificaat vermeld staan.

De anonieme credentials worden uitgegeven door trusted third parties en laten toe om selectief gegevens vrij te geven die niet gekoppeld kunnen worden aan de identiteit.

Verschil tussen identiteitscertificaten en anonieme credentials (anonieme certificaten)

Elk identiteitscertificaat is publiek en kan ogenblikkelijk en automatisch worden gevolgd terwijl het zich door de systemen beweegt. Hierdoor kan de identiteit van de houder worden opgespoord. Dit laat organisaties en individuen toe om uiterst nauwkeurige persoonlijke dossiers samen te stellen, met gedetailleerde informatie over bijvoorbeeld de financiële situatie van een persoon, de medische geschiedenis, de levensstijl, gewoonten, voorkeur, verblijfplaats, enz. De dossiers kunnen worden gelinkt en bijgewerkt zonder menselijke interventie. Daarbij kunnen individuen deze acties niet afwijzen. Dit resulteert in alle soorten risico’s en bedrijven van de privé-sfeer.

51



Terwijl de identiteitscertificaten gelijkaardig zijn aan paspoorten en andere identiteitsdocumenten op papier, zijn de anonieme credentials gelijkaardig aan een busticket of een cinematicket, met name objecten die informatie bevatten die niet gelinkt kan worden met de identiteit van hun houder. De anonieme credentials zijn daarom beter beveiligd tegen diefstal van identiteit dan een identiteitscertificaat. Ze bieden immers de mogelijkheid om enkel specifieke gegevens vrij te geven.

Hiervoor worden bij betrouwbare bronnen (trusted third parties) zoals bijvoorbeeld een bank of een zorgverzekeraar, anonieme certificaten aangemaakt. Deze leveren het bewijs, bijvoorbeeld in het geval van een zorgverzekeraar, dat de eigenaar recht heeft op een bepaalde uitkering. De volgende keer dat de gebruiker de zorgverlener nodig heeft, krijgt hij een nieuw anoniem certificaat, zodat de zorgverlener niet te weten komt dat het dezelfde klant is.

Het belangrijkste voordeel van anonieme credentials is dat zij aan individuen toelaten om zelf te bepalen wanneer, hoe, en in welke mate de informatie over hen aan anderen wordt vrijgegeven, en in welke mate anderen deze informatie kunnen traceren of linken.

Voorbeeld: anoniem doorgeven van kredietkaartgegevens aan webwinkels

Een voorbeeld van het gebruik van anonieme credentials is het anoniem doorgeven van kredietkaartgegevens aan webwinkels door gebruik te maken van anonieme certificaten die door banken of kredietkaartorganisaties worden uitgegeven en voor geldtransacties op het web gebruikt kunnen worden. De winkels krijgen het kredietkaartnummer niet meer te zien, enkel het echtheidscertificaat waarmee de geldigheid van de transactie kan worden gecontroleerd.

Voor het gebruik van deze toepassingen moet zowel de consument als de winkel over specifieke software beschikken. Wanneer de consument online een cd of een boek koopt, worden zijn kredietkaart- of bankgegevens (nummer en vervaldatum) versleuteld naar de winkel verzonden. De software controleert de gegevens bij de bank of de kredietkaartmaatschappij en gebruikt encryptie-algoritmen om de winkel te laten weten dat de gegevens juist zijn.

Omdat het pakketje met de versleutelde gegevens bij iedere transactie maar één keer gebruikt kan worden, kan er ook geen misbruik van worden gemaakt. Helemaal anoniem is de methode overigens niet. Dieven kunnen zich niet achter de credentials verschuilen. Politie of recherche kunnen bij vermoedens van fraude de gegevens alsnog uitlezen.

Een voorbeeld van een toepassing van anonieme credentials is Idemix (Identity Mixer) van IBM. Dit wordt verder in dit hoofdstuk toegelicht.

Zero-knowledge technologie

Beschrijving van de methode

De oplossingen die gebaseerd zijn op anonieme credentials berusten op het systeem van een trusted third party. Een andere manier om transacties uit te voeren zonder de privacy te schenden is via de “zero-knowledge technologie”. In deze technologie wordt beroep gedaan op een wiskundig algoritme. Het basisconcept is eenvoudig: persoonlijke gegevens worden het best beschermd als ze helemaal niet worden vrijgegeven.

Een “zero-knowledge proof” of “zero-knowledge protocol” is een interactieve methode binnen de cryptografie waarbij één partij bewijst aan een andere dat een – gewoonlijk wiskundige – verklaring waar is, zonder informatie te geven over de verklaring zelf. De eerste partij noemen we de “gebruiker” (in het Engels “prover”, in het Frans “fournisseur”), de tweede partij noemen we de “controleur” (in het Engels “verifier”, in het Frans “verificateur”). De gebruiker is degene die het bewijs (de verklaring) aflevert, de controleur is degene die de verklaring controleert.

Een “zero-knowledge bewijs” heeft de volgende eigenschappen:

Consistentie: als de gebruiker en controleur beiden het protocol correct volgen, zal de controleur de verklaring moeten aanvaarden, hij zal door de gebruiker van de waarheid ervan worden overtuigd.

52

Gefundeerdheid: als de verklaring vals is, kan de (bedrieglijke) gebruiker de controleur niet overtuigen, hij zal geen geldig bewijs kunnen leveren, tenzij met een zeer kleine waarschijnlijkheid.

Zero-knowledge: als de verklaring waar is, kan de controleur, zonder contact te nemen met de gebruiker, niets anders te weten komen dan het feit dat de verklaring waar is, en dus geen informatie over de verklaring zelf.

De eerste twee eigenschappen zijn gebruikelijk in algemene interactieve bewijssystemen. Het derde is wat het bewijs “zero-knowledge” maakt.

Zero-knowledge bewijzen zijn vooral nuttig bij authentificatiesystemen waar één partij zijn identiteit aan een tweede partij via geheime informatie (zoals een wachtwoord) wil bewijzen maar niet de tweede partij in kennis wil stellen van dit geheim. Dit wordt genoemd "een zero-knowledge bewijs van kennis".

De zero-knowledge bewijzen zijn geen bewijzen in de wiskundige betekenis omdat er steeds een kleine kans blijft bestaan dat een bedrieglijker gebruiker de controleur van een valse verklaring kan overtuigen. Er bestaan echter technieken om deze foutmarge te reduceren tot verwaarloosbare kleine waarden.

Toepassingen van zero-knowledge

Één van het meest gebruikte toepassingen van zero-knowledge binnen cryptografische protocollen is het afdwingen van eerlijk gedrag als voorwaarde om de privacy te beschermen.

Ruwweg is het idee een gebruiker te dwingen om te bewijzen, gebruik makend van een zero-knowledge bewijs, dat zijn gedrag correct is volgens het protocol. Om redenen van gefundeerdheid (zie hierboven) weten we dat de gebruiker eerlijk moet handelen om een geldig bewijs te kunnen verstrekken, omdat hij anders de controleur niet zal kunnen overtuigen. Omdat het om zero-knowledge gaat zal de gebruiker geen privacygeheimen vrijgeven bij het verstrekken van het bewijs.

Professor Jean-Jacques Quisquater van de UCL heeft onderzoek verricht naar zero-knowledge bewijzen en heeft dit in zijn publicatie "How to Explain Zero-Knowledge Protocols to Your Children" op een eenvoudige manier uitgelegd aan de hand van een verhaal.

Idemix Idemix – een samenvoeging van “Identity Mixer” – is een concept dat ontwikkeld werd door IBM’s “Zurich Research Laboratory” i.s.m. Novell en Parity Communications. Het steunt op het eenvoudige principe dat de beste manier om informatie te beschermen is ze niet vrij te geven, althans beperkt tot een minimum – het zogenaamd anoniem credential systeem.

De Idemix-werkwijze is als volgt: de gebruiker logt aan op een website, selecteert een pseudoniem en registreert. De gebruiker ontvangt vervolgens een reeks digitaal ondertekende, elektronische certificaten. Deze certificaten kunnen dan gebruikt worden bij een volgend bezoek. Om de anonimiteit te bewaren, worden de certificaten enkel in gecodeerde vorm aangeboden, en de encryptie verandert elke keer het programma geopend wordt. Dit verhindert het natrekken van iemands gedrag op de website.

Mogelijkheden voor de volgende generaties eID-kaarten

Alle Belgen zullen een eID ontvangen hebben tegen eind 2009. Daarna begint de vervanging van de eerste generatie eID-kaarten. Hoewel we zien dat er evoluties zijn in de technologie van en rond te eID-kaart, is het niet zeker of nieuwe technologieën zullen toegevoegd worden. Wellicht is er behoefte aan wat ruimte voor een zekere “gewenning” door de bevolking en een “volwassenwording” van de applicaties rond de eID.

53



Op korte termijn zien we wel enkele evoluties, die quasi onmerkbaar zullen zijn voor de burger:

Integratie van upgrades van software en standaarden

Conform maken aan Europese/internationale normen en verplichtingen

Gebruik van de vrije ruimte op de chip

Op middellange termijn zijn dit mogelijke denkpistes:

Integratie van de SIS-kaart (dit is reeds formeel beslist) – de eID zal gebruikt worden als link naar een centrale databank, de gegevens van de SIS-kaart worden dus niet op de eID geschreven

Integreren van biometrische gegevens: de discussie voert zich niet alleen op het niveau van “welke technologie te gebruiken”, maar ook “welke biometrische gegevens” op te slaan

Op langere termijn wordt gedacht aan:

Mogelijks activeren van 2 verschillende pincodes; één voor authenticatie en één voor digitale handtekening, om compatibel te zijn met commerciële software

Wijzigen van de certificaten zodat deze anoniem worden – mogelijks al dan niet wijzigen van de wetgeving.

Integratie van het rijbewijs : de eID zal gebruikt worden als link naar een centrale databank, de gegevens van het rijbewijs worden dus niet op de eID geschreven. Bij intrekking van het rijbewijs moet men dus niet zijn eID afgeven, er wordt gewoon een aantekening gemaakt in de databank.

Niet alle problemen kunnen opgelost worden door een verdere evolutie van de technologie, er moet op zijn minst een deontologie worden opgesteld, een soort van gedragscode, zowel bij de gebruikers als bij de aanbieders van eID-applicaties.

54

3.4 Conclusies over de technische context van de eID

Onderstaande conclusies hebben voornamelijk betrekking op de technische problemen met de eID.

De technische problemen te wijten aan technische onvolkomenheden van het materiaal zelf (kaart, kaartlezer, middleware,...) zijn minimaal. Het gaat slechts om een zeer klein percentage van technische mankementen.

De perceptie die men heeft van de technische mankementen is groter dan het effectieve aantal mankementen.

De complexiteit van de materie en het gebrek aan een basiskennis over deze aspecten dragen bij tot het negatieve gevoel dat mensen hebben over de eID, met name:

o Weinigen begrijpen de technologie achter de eID.

o Virtuele materie is voor velen ongrijpbaar.

o De eindgebruiker verwacht een “install en play”, men heeft/neemt niet de tijd om zich te informeren over de technische aspecten.

o Men is onvoldoende op de hoogte van de mogelijkheden van de eID.

o Men krijgt onvoldoende de kans om in een goed omkaderde omgeving ervaring op te doen met de eID. M.a.w. de overheid is niet consequent in het gebruik van de eID voor e-government toepassingen.

o Doemverhalen over problemen met de software, de kwaliteit van de kaart, misbruik van identiteit op het internet en schending van de privacy verstoren het vertrouwen in de eID.

o Door het gebrek aan duidelijke win-win situaties, keert men zich tegen de eID, men begrijpt het nut er niet van, vind het te moeilijk en heeft geen interesse om er meer over te weten te komen of om de mogelijkheden ervan te benutten.

o Gebrek aan compatibiliteit tussen verschillende systemen maakt het beheer van deze applicaties (mix van online bankieren en e-government) zeer moeilijk.

o Er is geen helpdesk waar men terecht kan met vragen en problemen.

Het grote voordeel van het gebruik van de eID voor authenticatie op een website is dat het een betere beveiliging biedt dan via een gebruikersnaam en paswoord. Authenticatie met eID wordt “two-factor” authenticatie genoemd, omdat je niet alleen iets moet weten (je pincode) maar ook iets moet hebben (je eID-kaart).

o Authenticatie met gebruikersnaam en paswoord is “one-factor” authenticatie omdat je enkel iets moet weten, maar geen object in je bezit moet hebben.

o Er bestaat ook “three-factor” authenticatie, met een derde factor, namelijk iets dat je moet zijn, dus biometrische gegevens, zoals je vingerafdruk of een scan van je iris, wat mogelijkerwijze in de toekomstige eID-kaart zal geïntegreerd worden.

55



4 Economische context van de eID

In dit hoofdstuk wordt de economische context van de eID weergegeven. Er wordt bekeken in welk economisch kader we de eID kunnen plaatsen en we gaan dieper in op e-commerce. In dit kader worden ook de verschillende business modellen besproken.

Na deze algemene schets, focussen we op de eID zelf. Er wordt bekeken wat de drijfveren zijn voor het gebruik van de eID, m.a.w. het antwoord op de vraag: “Waarom kiest een bedrijf of organisatie voor het gebruik van de eID?”. Vervolgens wordt een analyse gemaakt van de opportuniteiten voor het gebruik van de eID in elk van de business modellen.

4.1 Economisch kader

De eID onderbrengen in een economisch kader is geen makkelijke opdracht. Er zijn immers talloze mogelijkheden en opportuniteiten van allerlei aard. Toch is het mogelijk de meeste van die opportuniteiten onder twee categorieën te brengen, namelijk e-commerce en e-business.

e-commerce en e-business worden in de praktijk vaak door elkaar gebruikt. Toch is er een wezenlijk verschil tussen beiden:

e-commerce beperkt zich feitelijk tot het plaatsen tijdonafhankelijk elektronisch zaken doen via het Internet. Voorbeelden van eID in e-commerce zijn: tickets bestellen via Internet met eID als authenticatie, handel via eBay met de eID (zie case study) en chatten met de eID. In het laatste voorbeeld is het niet het chatten zelf die handelsactiviteit uitmaakt, maar de reclame die men plaatst boven of naast de chatruimtes.

e-business is breder en heeft ook betrekking op de ganse organisatie: het aan- en verkoopproces, de distributie, het bieden van service aan klanten, contacten met de business partners, etc. Voorbeelden van eID in e-business zijn: toegang krijgen tot loongegevens met de eID, een badgesysteem op basis van de eID en tijdsregistratie met de eID.

In het kader van deze twee categorieën is het mogelijk om economische business modellen te definiëren. De klant koopt een product of dienst van een bedrijf. De klant kan zowel een individu (consument) als een bedrijf zijn. Dit gegeven laat ons toe de economie in te delen op basis van de betrokkenheid van de partijen:

1. Business-to-Consumer (B2C) is de benaming voor handel tussen bedrijven en consumenten. Meestal betreft het hier bedrijven die specifiek zaken doen met consumenten, zoals supermarkten, kledingwinkels, reisbureaus enz.

2. Business-to-Business (B2B) is de benaming voor handel tussen bedrijven onderling. Voorbeelden hiervan zijn bedrijven die onderdelen of grondstoffen verkopen of zakenbanken en hostingbedrijven die niet op de particuliere markt actief zijn. Gewone consumenten kunnen bij B2B-bedrijven géén inkopen doen. Ook wordt de term gebruikt om binnen ondernemingen een bepaalde sectie aan te duiden. Hierbij is dan de B2B-afdeling gericht op de zakelijke dienstverlening, terwijl elders in hetzelfde bedrijf evengoed aan particulieren verkocht kan worden.

3. Business-to-Government (B2G) omvat de handel tussen de bedrijven en de overheid. Meestal is deze handel gereglementeerd door strikte aankoopprocedures. De opdracht wordt – afhankelijk van de aard van de procedure – toegewezen aan het meeste interessante bod. Internet opent de mogelijkheid om een omgekeerde veiling te houden waarbij de overheid de opportuniteit publiceert en de bedrijven een tijdelijk bod mogen uitbrengen.

56

4. Business-to-Employee (B2E) is de handelsvorm waarbij bedrijven diensten en producten ter beschikking stellen van hun werknemers. Meestal gaat het om interne processen die geautomatiseerd worden. Voorbeelden van dergelijke oplossingen zijn:

o Bedrijfsmededelingen o Tijdsregistratie o Verlofaanvraag o Onkostenrapportering

Andere voorbeelden van B2E zijn uitbreiding van verzekeringspolissen of de mogelijkheid tot het aankopen van materiaal onder gunstige voorwaarden.

5. Consumer-to-Consumer (C2C) is een business vorm die zich ontwikkelde op het Internet en waarbij particulieren met elkaar handel drijven. In een georganiseerde omgeving speelt een third party hierbij de rol van bemiddelaar. De verkoper stelt zijn “product” beschikbaar op de website van de third party en de koper koopt op de website van de third party. De third party neemt geen verantwoordelijkheid, maar biedt soms wel een kopersbescherming, bijvoorbeeld eBay. De third party laat zich vergoeden – meestal een vaste vergoeding – voor het beschikbaar stellen van zijn website. Dit is een ontluikende markt met heel wat potentieel. De belangrijkste aandachtspunten zijn:

o Kwaliteitscontrole: verboden goederen, gestolen goederen, namaak,… o Garantie van betaling o Gebruik van diverse betalingsmodaliteiten (bankkaart, kredietkaart, overschrijving,...) o Correcte levering van de goederen

6. Consumer-to-Business (C2B) is een business model waarbij particulieren diensten en producten aanbieden aan bedrijven. Dit is een omgekeerd business model dat wordt gestimuleerd door de volgende factoren:

o Door het Internet zijn de bedrijven in staat om rechtstreeks met individuen te communiceren, interactief – in het traditionele business concept is er met moeite sprake van rechtstreeks contact, zeker geen interactieve communicatie.

o Doordat technologie goedkoper is geworden, hebben ook individuen toegang tot performante systemen. Deze systemen laten hen toe om sommige diensten en producten te realiseren die ze op de markt kunnen aanbieden aan zeer competitieve prijzen.

We kunnen voor elk van deze business modellen opportuniteiten voor het gebruik van de eID definiëren, zowel in de context van e-commerce als van e-business. Dit komt verder in het hoofdstuk aan bod.

57



4.2 e-commerce

In dit hoofdstuk wordt het algemeen kader van e-commerce geschetst, het belang van e-commerce in de totale handel, de positie die België inneemt in Europa wat betreft online aankopen en de rol die de eID kan spelen in het verder beveiligen van transacties op het Internet.

4.2.1 Algemeen kader van e-commerce

De populariteit van Internet heeft gezorgd voor een explosieve toename van e-commerce. In de eerste plaats doordat aanbieders en afnemers tegen betrekkelijk geringe kosten een wereldwijde markt kunnen betreden die door Internet bovendien veel transparanter is geworden.

Juridisch kader en praktijk van e-commerce Internet is een grenzeloos gegeven. Bij het ‘kopen’ van goederen en diensten gaat de koper een koopcontract aan met de verkoper. De wetten en reglementen van het land van oorsprong van de verkopende partij zijn van toepassing op de koopovereenkomst. Niet in alle landen zijn het recht op de privacy of de consumentenrechten goed uitgewerkt. Op Europees niveau werd dit opgevangen door een Richtlijn. Op wereldniveau kan dit echter tot problemen leiden.

De Europese Richtlijn betreffende de bescherming van de consument bij op afstand gesloten overeenkomsten bepaalt dat de consument bij elke overeenkomst op afstand beschikt over een termijn van tenminste 7 dagen waarbinnen hij de overeenkomst kan herroepen. Wordt dit herroepingsrecht door de consument uitgeoefend, dan is de leverancier verplicht de door de consument gestorte bedragen kosteloos terug te betalen.

o Deze bepalingen zijn omgezet in Belgisch Recht en meer bepaald opgenomen in artikel 80 van de Wet op de Handelspraktijken. Dit artikel gaat zelfs verder door te stipuleren dat vòòr deze bedenkingtermijn van 7 dagen geen enkele betaling kan geëist worden van de consument. België is daarmee binnen Europa de enige lidstaat die deze verregaande verplichting oplegt aan de verkoper.

o In de praktijk wordt echter enkel opgetreden tegen een schending van die wet als er klachten zijn.

De Europese wet op e-commerce is van 2000 en de Belgische wetgeving is van 2003, maar ondertussen zijn er al heel veel praktijken en tendenzen, die dringend moeten gereglementeerd worden. De technologie gaat veel sneller, de wetgeving kan niet volgen omdat het opstellen van nieuwe wetgeving een lange procedure is. Men schrijft daarom eerder regelgeving dan nieuwe wetgeving.

Er bestaat op Europees niveau een justitieel netwerk in burgerlijke en handelszaken, dat bedoeld is om de samenwerking tussen de lidstaten op deze gebieden te vergemakkelijken.

Er zijn veel initiatieven van EU-landen om nieuwe regelgeving te schrijven. Het is belangrijk om hieraan samen te werken, want e-commerce werkt over de grenzen heen. België is één van de koplopers m.b.t. het opstarten van wetgevende initiatieven rond e-commerce.

Er zijn problemen met aanbieders uit landen die niet tot de EU behoren Zo zijn er bijvoorbeeld problemen met malafide Chinese en Thaise aanbieders. Men probeert hier op te treden door te traceren van waaruit ze opereren om zo de identiteit van de aanbieders te achterhalen.

Er zijn akkoorden gesloten tussen Belgische operatoren. Als een buitenlandse aanbieder een contract opstelt met Belgische operatoren en er zijn problemen, dan kunnen de operatoren het nummer blokkeren, zelfs als de handelaar in het buitenland zit. Het zou wenselijk zijn indien meer van zo’n akkoorden met economische actoren zouden worden gesloten. Hiermee kan men kort op de bal spelen (een wetgevend initiatief neemt veel meer tijd in beslag).

58

Vele landen hebben een kwaliteitslabel gecreëerd voor bedrijven die zich engageren in verband met het respecteren van de deontologische code voor e-commerce. In België heet dit label ‘Be-commerce’, in Nederland ‘Thuiswinkel Waarborg’.

BDMV en Be-commerce

Belgisch Direct Marketing Verbond

Het Belgisch Direct Marketing Verbond (BDMV) verenigt meer dan 450 ondernemingen die “direct marketing” diensten leveren of gebruiken met als doelstelling het professionalisme in de sector te garanderen en het consumentenvertrouwen te versterken.

Be-commerce

Be-commerce verenigt bedrijven die in België producten of diensten aan consumenten verkopen via Internet, catalogus, post, etc. Deze bedrijven zijn ook lid van het BDMV. Het Be-commerce platform verdedigt de belangen van deze bedrijven en stimuleert de uitwisseling van kennis om de consument het vertrouwen te bieden dat hij verdient.

De aangesloten bedrijven respecteren de deontologische Code van het BDMV en aanvaarden de uitspraken van het Comité van Toezicht dat als bemiddelingsinstantie optreedt in geval van geschillen tussen consumenten en bedrijven.

Be-commerce Label

Een bedrijf krijgt een Be-commerce Label als het, bovenop de strenge Belgische wetgeving, ook de deontologische Code van het BDMV respecteert. Deze Code legt de bedrijven regels op die te maken hebben met:

de bescherming van de privacy

het gebruiken van de Robinson-lijst om te zorgen dat mensen die geen reclame op naam wensen deze ook niet ontvangen

het behandelen van klachten door het Comité van Toezicht

het verkopen op afstand

het telefoneren voor reclame- en/of verkoopdoeleinden

het communiceren met consumenten

Alle bedrijven die lid zijn van het BDMV zijn te herkennen aan het ‘direct marketing’ label.

59



4.2.2 e-commerce in Europa

Toegang tot het Internet In onderstaande tabel worden de cijfers gegeven over de toegang tot Internet en de aanwezigheid van breedbandconnecties in alle Europese lidstaten (cijfers van Eurostat).

Wat de toegang tot Internet betreft, blijkt uit de cijfers dat België in 2007 weliswaar hoger scoort dan het Europees gemiddelde (60 tegenover een gemiddelde van 54) maar als we de cijfers van onze buurlanden bekijken, dan scoort België redelijk laag (Nederland: 83, Luxemburg: 75, Duitsland: 71, UK: 67). Van de ons omringende landen scoort enkel Frankrijk lager (slechts 49, verklaarbaar door het gebruik van Minitel). De Scandinavische landen scoren hoog (Zweden: 79, Noorwegen: 78, Denemarken: 78 en Finland: 69) en de Zuiderse landen alsook de Oost-Europese lidstaten scoren lager dan het gemiddelde.

Het aandeel van e-commerce in het totale handelsverkeer In onderstaande figuur wordt het percentage inkomsten via het Internet ten opzichte van de totale omzet weergegeven voor alle lidstaten van de Europese Unie (cijfers van Eurostat). Enkel ondernemingen met 10 of meer werknemers zijn bevraagd. De jaaraanduiding heeft betrekking op het onderzoeksjaar (de cijfers zijn dus van het jaar ervoor).

In België bedraagt het aandeel van e-commerce 3,4% (in 2007, cijfers van 2006). Het is moeilijk om een vergelijking te maken met de andere Europese landen gezien de ontbrekende cijfers voor vele landen.

Toch kan uit deze cijfers afgeleid worden dat België niet hoog scoort, zeker als je de vergelijking maakt met landen uit Noord-Europa (Ierland, UK, Noorwegen).

60

Er is zeker een groot potentieel voor elektronische handel. Dit bewijzen de 15.000 webshops in Nederland die allemaal een marktaandeel hebben kunnen veroveren.

4.2.3 e-commerce in België

Gebruik van het Internet Uit cijfers van Be-commerce blijkt dat er per dag 4,26 miljoen mensen gebruik maken van het Internet:

31% zoekt naar informatie in verband met diensten en producten (bijv. informatie voor aankopen: prijs product, locatie van een winkel)

29% doet aan e-banking

25% bezoekt chatruimtes zoals MSN Messenger

15% doet andere zaken

Enquête van FOD Economie: de Belgische consument en Internet

Onderzoeksopzet

De Algemene Directie Statistiek en Economische Informatie van de FOD Economie voerde tijdens het tweede trimester van 2007 een enquête uit bij 10.404 personen in de leeftijdscategorie van 16 tot 74 jaar (face-to-face en telefonisch) naar de tendenzen in de informatiemaatschappij.

61



Resultaten

Beschikbaarheid van PC en Internet in Belgische huishoudens

In 2007 bezit 67% van de Belgische huishoudens, met minstens één persoon tussen de 16 en 74 jaar, één of meer PC's. In 2006 was dit slechts 57%.

Ook de beschikbaarheid van Internet is gestegen. In 2007 heeft 60% van de Belgische huishoudens een Internetverbinding, terwijl deze indicator in 2006 54% en in 2005 50% bedroeg. Vooral éénoudergezinnen hebben in 2007 geïnvesteerd in de aankoop van een PC en een Internetverbinding.

Van de 40% huishoudens die geen Internet hebben, vindt de helft dit niet nodig of ongewenst. Dat is ongeveer een zelfde percentage als in 2006. 13% vermeldt daarnaast als reden het feit dat ze elders toegang hebben tot het Internet. Driekwart van die huishoudens heeft geen toegang om financiële redenen of omdat de nodige ICT-vaardigheid ontbreekt

Gebruik van de computer

Het gebruik van de computer bij de Belgische bevolking stijgt van 67% in het eerste kwartaal van 2006 naar 70% in het eerste kwartaal van 2007. Logischerwijze neemt het aantal individuen dat nog nooit een computer gebruikte af, ook al blijven personen met een laag opleidingsniveau, oudere personen, werklozen en niet-actieven (geen studenten) hier sterk vertegenwoordigd.

Gebruik van Internet

67% van de Belgische bevolking is in het eerste kwartaal van 2007 online geweest tegenover 58% in 2005 en 62% in 2006. Ook hier zien we de digitale kloof langzaamaan kleiner worden. Personen met een laag opleidingsniveau, oudere personen, werklozen en niet-actieven (geen studenten) blijven nochtans sterk vertegenwoordigd bij de Belgische bevolking die het Internet nooit gebruikte.

Online activiteiten

Wat communicatie betreft gebruikt men het Internet vooral voor het verzenden en ontvangen van mails: nagenoeg alle groepen, ook de oudere bevolking, scoren hier hoog. Chatten doet één op drie respondenten, daarbij gaat het vooral om de jongere bevolking. Online telefoneren wint wel aan populariteit, maar blijft steken op 16%.

De algemene zoektocht naar informatie over goederen en diensten is een andere belangrijke activiteit. Daarna volgt het zoeken naar informatie over reizen en gezondheid en het online spelen van spelletjes. Eén op vier leest online kranten of tijdschriften, maar slechts 3% registreerde zich erop. Internetbankieren kent een sterke stijging van 46% in 2006 naar 52% in 2007.

E-commerce

Ongeveer één op vijf Belgen die het Internet ooit gebruikten, zegt gedurende het eerste kwartaal van 2007 goederen of diensten te hebben besteld via Internet. Het gaat dan vooral om reizen of vakantieverblijven en tickets voor evenementen. Voor zij die beweren ooit goederen of diensten te hebben besteld via Internet stijgt deze proportie echter naar één op drie.

62

Uit de cijfers in bovenstaande figuur blijkt dat het bestellen van goederen of diensten ongeveer status-quo blijft. Het Brussels Hoofdstedelijk Gewest scoort hoger dan Vlaanderen en Wallonië.

Enquête over e-commerce bij Vlaamse KMO’s

Onderzoeksopzet

Voor deze studie werden door Unizo 450 KMO’s bevraagd via een online enquête in 2006. Merk op dat met deze wijze van bevragen enkel ondernemingen kunnen bereikt worden die beschikken over een Internetaansluiting. Op zich is dit geen probleem want cijfers wijzen uit dat meer dan 90% van de ondernemingen een Internetaansluiting heeft. Er dient hiermee wel rekening gehouden te worden bij de interpretatie van de resultaten: door het willen invullen van een online enquête blijkt minstens dat de respondent het Internet niet als een onoverkomelijk obstakel beschouwt.

Resultaten

Beknopt overzicht van de resultaten:

70% van de KMO’s heeft ooit al producten gekocht via het Internet. 30% deed dat nog nooit.

Slechts één vijfde van de ondernemers is op de hoogte van de specifieke wetgeving die van toepassing is op het kopen en verkopen via het Internet. Dit houdt de ondernemers echter niet tegen om zelf te kopen via het Internet.

Ruim 80% van de KMO’s heeft een eigen website maar slechts een vijfde van de ondernemers verkoopt via zijn website (18,7%). Bij 19% daarvan is het ook mogelijk rechtstreeks via de site te betalen. Het overgrote deel (81,3%) verkoopt (nog) niet via de site.

De virtuele marktplaats eBay wordt door ondernemers maar zelden gebruikt als (bijkomend) verkoopskanaal. Slechts 3,6% van alle ondernemers verkoopt producten via eBay. Van de KMO’s die wel al verkopen via een website vertegenwoordigen de eBay-verkopers 19%.

Enquête over e-commerce bij Waalse KMO’s

Onderzoeksopzet

Voor deze studie werden door het AWT (Agence Wallonne des Télécommunications) in totaal 2024 Waalse KMO’s bevraagd over de resultaten van het jaar 2006, via een schriftelijke enquête

63



verstuurd via de post. Naast vragen over het gebruik van ICT heeft de studie ook de behoeften en de projecten van de ondernemingen inzake ICT onderzocht.

Resultaten

Eigen website: 58% van de Waalse KMO’s bezit een website of een webpagina. Dat is 7% meer dan in 2005 (als men enkel de op Internet aangesloten KMO’s in beschouwing neemt is dit 60%). 7% van de KMO’s is van plan om een website te hebben in de loop van de 12 komende maanden.

Ter vergelijking: het aantal Vlaamse en Brusselse KMO’s dat over een website of webpagina beschikt is 63% terwijl het nationale gemiddelde zich op 60% bevindt (bron: federaal onderzoek Statbel over de automatisering van de ondernemingen, 2006).

Merk op dat de cijfers in deze studie (en in het vergelijkingsmateriaal) lager liggen dan het cijfer uit de voorgaande enquête over e-commerce bij Vlaamse KMO’s uitgevoerd door Unizo, het cijfer daar is 80% (aantal KMO’s met eigen website). De verklaring hiervoor is gelegen in het feit dat het hier een postale enquête betreft terwijl de enquête van Unizo online werd uitgevoerd, waardoor een vergelijking van de cijfers onmogelijk is (dezelfde opmerking geldt ook voor de cijfers van online verkoop en online aankoop).

Online verkoop: 12% van de Waalse KMO’s verklaart producten of diensten te verkopen langs elektronische weg. Dit is een stagnatie tegenover de voorgaande jaren.

Online aankoop: 42% van de KMO’s heeft producten/diensten langs elektronische weg gekocht. Dat is 3% hoger dan in 2005. Het percentage stijgt naar 44% als we enkel de KMO’s bekijken die geconnecteerd zijn op het Internet (dit is 95% van alle KMO’s).

Producten die het meest gekocht worden via Internet zijn:

o Ondersteunend materiaal (“fournitures”): 72%

o Grondstoffen: 50%

o Diensten online (digitaal): 11%

o Diensten (klassiek): 7%

De online aankopen zijn dus voor een groot deel niet gelinkt aan de “core business”. De processen die de online aankopen ondersteunen zijn bovendien weinig geïntegreerd in de back-office. Slechts 39% van de KMO’s die langs elektronische weg grondstoffen hebben gekocht, hebben dit proces in de back-office geïntegreerd en slechts 44% van de elektronische aankopen hebben geleid tot een elektronische betaling (Isabel buiten beschouwing gelaten).

Voor 64% van de KMO’s die aankopen doen op het Internet is het grootste gedeelte van hun leveranciers gesitueerd in België. 74% doet voor hun online aankopen geen beroep op buitenlandse leveranciers en nauwelijks 18% onder hen gebruikt Internet om de prijzen van hun leveranciers te vergelijken.

Hieruit (en uit nog andere cijfers van de studie) kan worden geconcludeerd dat een groot deel van de Waalse KMO’s die via Internet aankopen verrichten, dit doen omdat hun gewone leveranciers hen deze dienst op een gegeven moment hebben aangeboden.

Tendenzen online handelsverkeer

Stijging van het aantal online transacties

Het vertrouwen van de Belgische consumenten in e-commerce neemt zienderogen toe en dat vertaalt zich in een opmerkelijke stijging van het aantal online verkopen. Uit de omzetcijfers van Be-commerce blijkt dat de online verkopen in 2006 verdubbeld zijn (stijging van 99%) in vergelijking met 2005. In 2005 besteedden de Belgen 1,67 miljard Euro aan aankopen op afstand. Twee derden van

64

die aankopen gebeurden via Internet. Van die 1,2 miljard ging er 450 miljoen naar reizen en eventtickets.

Het aantal gebruikers was in 2006 bijna drie miljoen. Samen spendeerden zij in 2006 naar schatting ruim 2 miljard Euro op het Internet.

Volgens Ogone, de Belgische specialist in elektronisch betalingsverkeer, is het aantal elektronische betalingstransacties in 2007 met zo’n 70% gestegen (tegenover 2006) tot 6 miljoen transacties. Goed voor een totaalbedrag van 650 tot 700 miljoen Euro. De Internetverkoop in ons land zit volgens Ogone nog lang niet aan z'n plafond. Uitgaande van prognoses zal de groei zich in 2008 aan hetzelfde tempo voortzetten. In vergelijking met onze buurlanden blijkt dat België een stevige inhaalbeweging aan het maken is. Toch zijn er nog grote gaten in de Belgische online-markt.

Meer beveiliging bij online aankopen

Eén van de belangrijkste drempels om te kopen op Internet is het idee dat leeft bij de Belgische consumenten dat online betalen onveilig zou zijn. Dat blijkt ondermeer uit de Be-commerce Trust Index, een onderzoek dat Be-commerce voert in samenwerking met het marktonderzoeksbureau InSites. Daaruit blijkt dat 47% van de ondervraagden het niet veilig vindt om online met een kredietkaart te betalen (cijfers van 2006).

Om de drempels van e-commerce bij consumenten te verlagen is het nodig om hen bewust te maken van de verbetering van de controlesystemen op de webshops (Be-commerce kwaliteitslabel). Het online betalen werd ondermeer een stuk veiliger en toegankelijker door de betaalfaciliteiten via home banking accounts. De veiligheid van deze accounts is sterk verbeterd de laatste jaren door het gebruik van de Digipass. Via deze relatief veilige home banking sites kunnen ook aankopen worden verricht bij de webshops.

Ook het online betalen met kredietkaart zoals VISA, MasterCard en American Express, biedt extra beveiliging via ondermeer cryptologische technologieën (SSL). Het ingeven van de kaartnummers gebeurt via beveiligde platforms die de consument kan herkennen aan het webadres (dat start met https in plaats van http) en aan het slotjes-icoon dat aangeeft dat het betaalsysteem gecertificeerd is. Deze platforms worden meer en meer beheerd door gespecialiseerde bedrijven zoals Ogone die werken volgens de strenge normen van de Payment Card Industry (PCI). Dit heeft als gevolg dat de Belgische webshops zelf al jaren geen databanken met kredietkaartnummers meer bijhouden, want die zouden kunnen gekraakt worden door onbevoegden.

65



Door het toevoegen van een paswoord aan de kredietkaart, bestaat er ook al enige tijd een nog veiligere online betaalmethode met kredietkaart onder de naam “Verified by Visa” en “MasterCard Secure Code”. Die werkt op dezelfde manier als de nieuwe home banking systemen van de Belgische banken.

Ook de Belgische wetgeving beschermt de consument: bij diefstal of verlies van de kredietkaart is de eigenaar niet verantwoordelijk tot een bedrag van 150 euro. Wanneer de kredietkaartgegevens van de consument misbruikt worden zonder dat er sprake is van verlies of diefstal van de kaart, wordt de consument zelfs 100% terugbetaald.

4.3 Drijfveren voor bedrijven voor het gebruik van de eID

Om inzicht te krijgen in de beslissingen die een bedrijf neemt ten aanzien van het gebruik van de eID in haar bedrijfsvoering, kijken we naar de mogelijke drijfveren. We zullen deze drijfveren toelichten met voorbeelden uit e-commerce, e-business en met concrete voorbeelden van het gebruik van de eID.

Bedrijven streven naar:

Maximaliseren van de winst, door:

o Productiekost te verlagen. Voorbeeld: door het feit dat de overheid het PKI-systeem met bijhorende certificaten kosteloos ter beschikking stelt, moet men daarin niet investeren bij het creëren van nieuwe diensten of producten.

o Verkoopkost te verlagen. Voorbeeld: wanneer een bedrijf beslist om zaken te doen via Internet, dan hoeft het niet te investeren in winkels en de inrichting ervan. Dit zorgt ervoor dat men de goederen aan een betere prijs kan verkopen.

o Distributiekost te verlagen Een goed voorbeeld hier is de case study van de Christelijke Mutualiteit. Zij bieden diensten aan via het Internet en gebruiken de eID voor de authenticatie van personen. Dankzij de elektronische levering van diensten, moeten zij veel minder brieven per post sturen, waardoor de distributiekost (cf. postzegels) verlaagt.

o Reduceren van overhead Voorbeeld: digitaal ondertekenen d.m.v. de eID zal leiden tot enorme proces- en kostefficiëntie.

Vergroten van de omzet, door:

o Groter marktsegment Voorbeeld: een kleine, locale KMO bereikt een veel groter marktsegment door diensten aan te bieden via het Internet.

o Nieuw product Voorbeeld: de creatie van de eID heeft ervoor gezorgd dat bedrijven nieuwe producten op de markt kunnen brengen, denk maar aan de Police Mate, de kaartlezers, modules om met de eID een elektronische handtekening te kunnen zetten, enz.

Verkorten van de bedrijfsprocessen:

Een goed voorbeeld is het gebruik van de eID binnen de Vlaamse Maatschappij voor Watervoorziening. Bij de VMW zijn er jaarlijks ongeveer 150.000 aanvragen tot verhuis (van de

66

1.060.000 klanten). Wanneer deze overdracht op papier gebeurt, duurt dit ongeveer een week. Alle formulieren dienen in drievoud opgesteld te worden en er is veel kans op fouten in de gegevens. Elke fout in een factuur of document kost het bedrijf ongeveer 100 euro. Een verhuis kan nu via de eID elektronisch aangevraagd worden. Deze werkwijze zorgt ervoor dat het proces voor het aanvragen tot verhuis van 13 stappen naar 3 stappen is gereduceerd: een enorme efficiëntiewinst.

Vergroten van de kwaliteit:

Ook hier kan het voorbeeld van de VMW aangehaald worden, maar dan op het gebied van de correctheid van de gegevens. Door de registratie te doen via de eID, worden de gegevens correct uitgelezen. Op die manier verhoogt de kwaliteit.

Verlagen van het risico:

Voorbeeld: door zich te identificeren met de eID op eBay, verlaagt het risico dat men met malafide kopers of verkopers te maken krijgt.

Verbeteren van imago en bekendheid door marketing:

Hier kan moeilijk een voorbeeld gegeven worden van de eID als stimulans voor marketing. Het wordt door ondernemers net als een rem gezien dat men het eigen bedrijfslogo niet op de kaart kan publiceren.

Voor een non-profitorganisatie zijn deze drijfveren gelijkaardig, al dient de winstfactor vervangen te worden door het algemeen belang dat door de organisatie naar voor wordt geschoven.

4.4 Opportuniteiten en belemmeringen voor gebruik van de eID volgens de business modellen

Met de business drivers in het achterhoofd zullen we bekijken hoe het gebruik van de eID een meerwaarde kan betekenen in elk van de business modellen.

Business-to-Consumer (B2C)

De eID kan hier een rol spelen gezien het gaat om handel met een individu die zich kan identificeren met zijn eID. Men dient zich wel de vraag te stellen in welke gevallen een identificatie vereist is.

e-commerce

Voor elektronische handel is informatie over de financiële draagkracht van het individu (bijvoorbeeld via de visa-kaart) meestal voldoende om de transactie uit te voeren.

De vraag is of er in dit domein een nood is aan een betere beveiliging met de eID.

Momenteel worden de meeste online betalingen uitgevoerd via de betaalfaciliteiten van home banking of via de kredietkaart. Zoals reeds hierboven geschetst zijn er heel wat maatregelen genomen om het online betalen beter te beveiligen:

Be-commerce kwaliteitslabel voor webshops

Betaalfaciliteiten via home banking account (beveiliging via Digipas)

Betalingen kredietkaart via beveiligde platforms (bijv. Ogone)

Toevoeging paswoord kredietkaart (“Verified by Visa” en “MasterCard Secure Code”)

Bescherming door de Belgische wetgeving bij diefstal of verlies van de kredietkaart

67



De vraag stelt zich of er stimulansen kunnen gevonden worden om de eID te gebruiken als authenticatie voor online aankopen gegeven het feit dat:

er reeds een groot aantal veiligheidsmaatregelen zijn genomen voor betalingen via de bankkaart of de kredietkaart

de kredietkaart tegelijk identificatie én betaalmiddel is

er geen specifiek belang is voor de handelaars: betalen is belangrijker dan authenticatie (om het cru te stellen: het maakt de handelaars niet uit of de aanvrager de rechtmatige eigenaar is van de visa-kaart of niet)

de kredietkaart standaard (en wereldwijd) aanvaard wordt

Het komt erop neer dat er een duidelijk veiligheidsaspect verbonden moet zijn aan de online transacties om het gebruik van de eID te verantwoorden.

Enkel voor een aantal specifieke transacties waar veiligheidsaspecten aan verbonden zijn, kan de eID nuttig zijn, bijvoorbeeld het controleren van de leeftijd bij de aankoop van goederen die niet bestemd zijn voor kinderen, zoals sigaretten of biljetten van de nationale loterij.

Er zijn een aantal applicaties op de markt die op basis van de eID toegang verlenen tot automaten door de leeftijd op de eID te controleren. Deze applicaties worden verderop in dit rapport besproken. Deze kant-en-klare applicaties vergen geen grote investering en zijn dus zeer geschikt voor KMO’s.

Communicatie met klanten

Meer opportuniteiten voor de eID situeren zich in de communicatie tussen bedrijven of organisaties en hun klanten, bijvoorbeeld via Internet. Voorbeelden zijn:

Ethias: gebruik van de eID voor toegang tot de online verzekeringsportefeuille voor hun klanten (pilootproject, zie case study Ethias).

Christelijke Mutualiteit: gebruik van de eID voor toegang tot de online-service voor gebruikers, zowel werknemers als leden van de CM, voor het consulteren van het eigen dossier en gepersonaliseerde informatie (zie case study Christelijke Mutualiteit).

Deze case studies tonen aan dat er opportuniteiten zijn voor het gebruik van de eID in de communicatie tussen bedrijven en haar klanten. Bovenstaande case studies zijn voorbeelden van toepassingen met weinig cruciale veiligheidsaspecten omdat het geen financiële transacties betreft. Om deze reden werken bovenstaande applicaties met “gewone” kaartlezers, waarbij de pincode wordt ingegeven via het toetsenbord van de computer.

Omdat er bij deze applicaties “geen buit te rapen valt” is er (in theorie) weinig kans op “hacking”. Er is echter wel kans op indirect misbruik, als de pincode van de eID wordt achterhaald en deze dan misbruikt wordt in andere applicaties waar er wel financiële transacties gebeuren. Bijvoorbeeld indien mensen dezelfde code voor hun eID als voor hun bankkaart zouden kiezen, uit onderzoek van Safeboot blijkt immers dat 60% van de consumenten eenzelfde code gebruikt voor meerdere doeleinden!

De online banking applicaties zijn echter gebaseerd op het principe van de Digipass die, zelfs al worden ze gebruikt in combinatie met de bankkaart waarvan de code zou gekraakt zijn, toch nog steeds beveiligd zijn door het principe van de dynamische paswoorden of de “challenge-response authenticatie” (zie verderop).

Home Banking

Online banking, en meer bepaald het uitvoeren van financiële transacties, is een domein waar er wel cruciale veiligheidsaspecten aan verbonden zijn. In deze applicaties wordt daarom steeds met een beveiligd systeem gewerkt. Het meest gebruikte is de Digipass. Er zijn verschillende soorten:

68

Digipass die dynamische, tijdsgerelateerde one-time-paswoorden genereert: op geregelde intervals wordt een nieuwe waarde gegenereerd.

Digipass volgens het “challenge-response principe”: ter controle wordt door het systeem een “challenge” (random data) verstuurd en, op basis van de private sleutel, wordt een response berekend en teruggestuurd.

Beide soorten kunnen op zichzelf gebruikt worden, dus zonder een andere gegevensdrager, of in combinatie met een gegevensdrager, bijvoorbeeld een bankkaart, de SIM-kaart van een GSM, een USB-token of de eID-kaart.

Indien het in combinatie met een PKI-systeem wordt gebruikt, dan is er een private sleutel nodig. Hier zijn weer twee mogelijkheden: ofwel zal de Digipass zelf drager zijn van een private sleutel, ofwel wordt de private sleutel van de gegevensdrager (de bankkaart, SIM-kaart, USB-token of eID) gebruikt.

De Digipass wordt in België vooral gebruikt door banken en verzekeringsmaatschappijen die het vaak aanbieden in combinatie met de bankkaart. Er bestaat nog geen Digipass die tegelijk met de bankkaart en de eID werkt. Mensen die dus een Digipass met bankkaart hebben en ook de eID willen gebruiken, bijvoorbeeld om een elektronische handtekening te zetten, moeten dus bijkomend een eID-kaartlezer aanschaffen.

Mogelijkheden voor home banking met de eID:

Omdat op de eID (net zoals op de bankkaart) een private sleutel aanwezig is, kan je deze ook gebruiken in combinatie met een Digipass.

Er is een eID-Digipass op de markt die dynamische one-time-paswoorden genereert, maar bij deze Digipass wordt de eID enkel gebruikt om het toestel te deblokkeren, de private sleutel op de eID wordt nog niet gebruikt. Dit toestel kan in principe gebruikt worden in combinatie met een PKI-systeem voor de eID, bijvoorbeeld voor het controleren of de certificaten op de eID nog geldig zijn, maar volgens de producent is er hier voorlopig geen vraag naar.

De Keytrade Bank gebruikt de eID om in te loggen op hun portaalsite maar om specifieke verrichtingen te doen waar veiligheidsaspecten aan verbonden zijn, wordt een Digipass gebruikt die niet werkt met de eID.

De vraag is waarom banken nog niet zijn overgeschakeld op dit systeem. Hiervoor kunnen meerdere redenen worden gegeven:

De eID biedt geen mogelijkheid voor “branding” wat zeer belangrijk is voor banken (zie ook verderop).

Door het bestaan van een Digipass die werkt met de bankkaart is er geen nood aan een Digipass voor eID.

De overheid heeft de banksector onvoldoende geïnformeerd over de mogelijkheden van de eID.

De banken willen een volledige controle over de kaart. Dit is makkelijker realiseerbaar door een eigen systeem .

Conclusie: Terwijl het in principe mogelijk is om te werken met de eID in plaats van met de bankkaart voor online banking, verkiezen banken om toch te blijven werken met systemen op basis van de bankkaart of applicaties met een andere authenticatiemethode.

Beperkingen van de eID

Een eerste beperking van de eID is dat enkel Belgen zullen beschikken over de eID. In ander landen is er of geen eID of is het systeem niet compatibel, en ook niet-Belgen in eigen land zullen niet over de eID beschikken.

69



Om deze reden is het gebruik van de eID niet opportuun voor bedrijven of organisaties die zich richten op dat marktsegment, bijvoorbeeld hotels. Er zijn nochtans wel eID-applicaties op de markt voor de registratie van hotelgasten (zie hoofdstuk “Analyse van eID-toeoassingen”), maar deze laten ook toe ook gegevens manueel bij te vullen.

Een aantal universiteiten, bijvoorbeeld de Universiteit van Gent en de K.U.Leuven, gebruiken de eID wel voor de registratie van hun studenten, maar niet als toegangsbadge, omdat voor een te grote groep van de populatie, de buitenlandse studenten en gastdocenten, een alternatief systeem moet worden ontwikkeld.

Een tweede beperking van de eID is dat het geen “branding” toelaat: je kan de kaart niet gebruiken om er bijvoorbeeld het logo van het bedrijf op te vermelden. De eID heeft dus geen marketingwaarde. Dit is de reden waarom sommige bedrijven opteren om de eID enkel te gebruiken voor identificatie – bijvoorbeeld voor het registreren van bezoekers van dancings – maar niet voor de toegang, hiervoor wordt een aparte kaart gebruikt. Het gebruik van een aparte kaart heeft niet alleen het voordeel van marketing – logo van het bedrijf erop – maar er kan ook een prijs voor worden gevraagd, bijvoorbeeld een lidkaart van een sportclub.

Een derde beperking van de eID is dat een verloren gegane kaart niet meteen vervangen kan worden. Je moet daarom altijd een parallel systeem met klassieke toegangsbadges ter beschikking hebben.

In het hoofdstuk over de eID-toepassingen zullen een aantal toepassingen worden besproken die specifiek ontwikkeld zijn voor de registratie van bezoekers aan evenementen, dancings, enz.

Business-to-Business (B2B)

Bij handel tussen bedrijven zijn de handelspartners meestal goed gekend. Het gaat om een netwerk van bedrijfsleiders die onderling zaken doen. Deze handelsvorm is gebaseerd op wederzijds vertrouwen en men is er zich van bewust dat onbehoorlijk gedrag kan afgestraft worden in het gehele netwerk.

Het wederzijds vertrouwen berust op zakelijke aspecten – omzet, resultaten, financiële draagkracht, productenaanbod, enz.– en niet op de identiteit van de persoon die bijvoorbeeld een bestelbon tekent. De autoriteit voor het ondertekenen van een bestelbon wordt bepaald door interne procedures en staat los van de persoon in kwestie.

Om deze redenen is het potentieel voor het gebruik van de eID gering en worden interne gesloten systemen gebruikt zoals Isabel.

De eID kan wel gebruikt worden daar waar formele procedures en veiligheidsmaatregelen van toepassing zijn. Bijvoorbeeld bij het zakendoen met de overheid, waar alles geregeld is door strikte procedures die officiële handtekeningen van gemandateerde personen vereisen. Daar kan de eID gebruikt worden, maar bedrijven die een intern systeem hebben, zoals Isabel of sommige producten van Certipost, hebben meestal bedrijfscertificaten, met mogelijkheid tot elektronische handtekening, die dan gebruikt kunnen worden.

Voor zelfstandigen en kleine KMO’s die geen investering doen in een intern systeem kan de eID gebruikt worden voor hun contacten met de overheid, zoals nu reeds gebeurt voor tax-on-web, waar zowel de bedrijfsleider als de boekhouder met hun eID, dus in eigen naam, deze dienst kunnen gebruiken.

Business-to-Government (B2G) De handel tussen de bedrijven en de overheid is meestal sterk gereglementeerd door strikte aankoopprocedures. Indien de overheid in de toekomst de opdrachten via het Internet zou bekendmaken en de mogelijkheid zou voorzien om online in te schrijven, dan kan de eID hier een nuttig instrument zijn voor authenticatie en het elektronisch ondertekenen van documenten. Hier wordt niet verder op ingegaan omdat dit behoort tot e-government. In ieder geval moet er op

70

toegezien worden dat het de Belgische ondernemingen niet bevoordeeld ten opzichte van buitenlandse ondernemingen omdat dit ingaat tegen het vrij verkeer van goederen en diensten.

Business-to-Employee (B2E)

De processen voor de communicatie tussen werkgever en werknemer worden meer en meer geautomatiseerd, gebruikmakend van Internet of Intranet. Typische kenmerken van deze processen zijn:

Veel van de informatie die tussen beide partijen uitgewisseld wordt is confidentieel, bijvoorbeeld informatie over loon, ziekte- en invaliditeit, gezinssituatie, enz.

Ook informatie rond de bedrijfsvoering en de producten wordt afgeschermd naargelang het profiel van de werknemer.

De veelheid van applicaties, de complexiteit van ICT-systemen, telewerken, de veiligheidspolitiek van de bedrijven, enz. voedt de behoefte aan een geïntegreerde aanpak met single-sign-on.

Hier zijn veel opportuniteiten voor de eID. Ze kan gebruikt worden voor:

Registreren van nieuwe werknemers

Inloggen in het bedrijfsnetwerk, consulteren van persoonlijke informatie, tijdsregistratie – zowel op kantoor als bij telewerken

Elektronisch ondertekenen van bedrijfsdocumenten en beveiligen van documenten en e-mails

Toegang voor bedrijfspartners op het netwerk via een beveiligd Extranet

De eID kan ook een alternatief zijn voor de bedrijfsbadge, bijvoorbeeld voor toegang tot gebouwen, parking, bedrijfsrestaurant. In onderstaande tabel worden alle aspecten van de bedrijfsbadge bekeken bij gebruik van de eID en bij gebruik van een ander systeem.

Aspecten bedrijfsbadge eID Ander systeem

Certificaten en PKI-systeem Door de overheid gratis ter beschikking gesteld

Vergt een investering

Technologie Contactkaart met chip Diverse mogelijkheden: RFID, gecompartimenteerde geheugenchips,...

Kostprijs badge Enkel kosten bij verlies of diefstal (enkele tientallen euro’s)

Variërend van enkele Euro’s tot 50 cent bij grote aantallen

Beschikbaarheid (verlies of diefstal badge)

Wachttijd, hoge kostprijs Meteen vervangbaar, lage kostprijs

Duurzaamheid Gevoelig voor slijtage van contacten Duurzamere systemen mogelijk bijv. RFID

Privacybescherming Persoonsgegevens op de eID o.a. rijksregisternummer

Enkel gegevens gerelateerd aan de functie als werknemer op de kaart: het bedrijf kan zelf beslissen wat er op de kaart komt

Onafhankelijkheid Gebonden aan regelgevend kader eID Onafhankelijkheid m.b.t. de gebruikte encryptie en het gebruik van de geheugenplaatsen

Toepassingsmogelijkheden Minder toepassingsmogelijkheden Onbeperkte toepassingsmogelijkheden: saldo restaurant, saldo maaltijdcheques,...

71



Hieruit kan geconcludeerd worden dat de eID – indien problemen rond privacy en rijksregisternummer worden opgelost - als bedrijfsbadge een interessante opportuniteit kan zijn voor KMO’s omdat een aantal kosten kunnen uitgespaard worden. Voor grotere bedrijven wegen deze voordelen echter niet op tegen de nadelen ervan, namelijk de beschikbaarheid, slijtage van de kaart, geen onafhankelijkheid, beperkte toepassingsmogelijkheden, enz.

In het hoofdstuk over de eID-toepassingen zullen een aantal applicaties worden besproken die specifiek ontwikkeld zijn voor de communicatie tussen werkgever en werknemer, bijvoorbeeld registratie van nieuwe werknemers, inloggen op het systeem, tijdsregistratie, fysieke toegangscontrole, enz.

Consumer-to-Consumer (C2C) Bij handel tussen consumenten zijn er veel mogelijkheden voor het gebruik van de eID. Deze situeren zich voornamelijk in de elektronische handel.

Het verschil met B2C is dat de verkoper bij C2C een consument is en geen Internetbedrijf dat gebonden is aan wetgeving en aan door de sector opgelegde kwaliteitslabels en die “zijn goede naam” niet op het spel zal zetten door het uitvoeren van malafide praktijken.

Als bedrijf moet je immers voldoen aan specifieke wetgeving, bijvoorbeeld identificatie van de handelaars, handelsregisternummer enz, in het domein C2C is er zeer weinig regelgeving en zijn er bijna geen verplichtingen. Als consument ben je bovendien anoniem, wat de poort voor sommigen wijd openzet voor fraude.

Op sommige online handelsplaatsen wordt er wel gewerkt met betrouwbaarheidsratings, bijvoorbeeld op eBay, maar deze kunnen omzeild worden door valse inschrijvingen.

De belangrijkste knelpunten waar de eID een oplossing kan bieden zijn fraude en problemen met minderjarigen.

Mogelijke fraude

Betaalde goederen komen niet bij de kopers terecht

Malafide oorsprong van goederen, bijvoorbeeld gestolen goederen

Onwettelijke producten worden aangeboden, bijvoorbeeld organen

Handelaars proberen de belastingen te ontlopen

Er is een gezamenlijk initiatief tussen de FOD Economie en de politie: eCops. Dit is een elektronisch loket voor melding van fraude: alle informatie m.b.t. malafide ondernemingen wordt gestockeerd in een gemeenschappelijke databank.

Problemen met minderjarigen

Er zijn veel problemen met minderjarigen binnen e-commerce omdat zij zich momenteel niet moeten identificeren en dus vrij kunnen kopen en verkopen.

Omdat men tegenwoordig via sms kan betalen stelt het probleem van minderjarigen zich veel sterker. In theorie mogen kinderen geen contracten afsluiten, maar de jurisprudentie heeft het toegelaten voor kleine uitgaven, zonder autorisatie van de ouders. Uiteraard zijn er hier gevaren, want waar ligt de grens voor grotere aankopen? Hoe controleer je het?

Een oplossing voor deze twee knelpunten is authenticatie met de eID. Dit kan de veiligheid van online transacties verbeteren omdat je zekerheid hebt over de identiteit van de persoon.

72

Authenticatie met eID op online handelsplaatsen zoals eBay

Het gebruik van de eID als authenticatie op online handelsplaatsen zoals eBay kan er voor zorgen dat fraude bestraft kan worden omdat er een bewijs is van het contract en de kosten dus kunnen terugbetaald worden.

Malafide handelaars, die zich voordoen als gewone consumenten om de regelgeving te omzeilen en de belastingen te ontduiken, kunnen op die manier makkelijker opgespoord worden.

Het grootste obstakel bij eBay is dat het internationaal is en de investering enkel vruchten afwerpt in België. De vraag die zich hier stelt is of er misbruik is op grote schaal opdat een investering in een applicatie op basis van de eID de moeite waard is. En of er niet teveel belemmeringen zijn – bijvoorbeeld economische, psychologische of technische – die het gebruik ervan ontmoedigen.

In de case study over eBay wordt deze analyse dieper uitgewerkt.

Minderjarigen

Door de authenticatie kan men nagaan hoe oud een persoon is. Wanneer blijkt dat deze persoon minderjarig is, kan men automatisch weigeren hem iets te verkopen.

Consumer-to-Business (C2B) In dit business model, waarbij particulieren diensten en producten aanbieden aan bedrijven, kan de eID zijn nut hebben gezien het hier voornamelijk transacties via het Internet betreft. De particulier die zijn diensten aanbiedt kan de eID aanwenden voor identificatie, authenticatie en voor het elektronisch ondertekenen van documenten, in zijn relatie met het bedrijf waar hij diensten voor uitvoert.

73



4.5 Conclusies over de economische context van de eID

Als we kijken naar de business modellen, dan zijn de opportuniteiten voor het gebruik van de eID het grootst bij B2C, C2C, B2E en C2B.

o B2C (Business-to-Consumer): bijvoorbeeld voor authenticatie van klanten op een portaalsite en het elektronisch ondertekenen van contracten

o C2C (Consumer-to-Consumer): bijvoorbeeld voor authenticatie van gebruikers op online veiligsites

o B2E (Business-to-Employee): bijvoorbeeld voor registratie van nieuwe werknemers, inloggen op bedrijfsnetwerken, elektronisch ondertekenen van bedrijfsdocumenten en de eID als bedrijfsbadge

o C2B (Consumer-to-Business): bijvoorbeeld een particulier die zijn diensten aanbiedt aan een bedrijf kan de eID aanwenden voor identificatie, authenticatie en voor het elektronisch ondertekenen van documenten, in zijn relatie met het bedrijf waar hij diensten voor uitvoert

Puur economisch gezien heeft een handelaar genoeg aan de zekerheid over de solvabiliteit van de koper. In dat geval geeft de kredietkaart voldoende zekerheid en is de eID overbodig. In enkele specifieke gevallen, waar veiligheidsaspecten of regelgeving aan verbonden zijn, kan de eID nuttig zijn. Bijvoorbeeld om de leeftijd te controleren en zo al dan niet toelating te geven om bepaalde websites te consulteren of bepaalde goederen te kopen.

Het feit dat alleen Belgen over een eID beschikken geeft in onze globale economie grote problemen. Men moet immers steeds over parallelle systemen beschikken voor de identificatie en authenticatie van niet-Belgen. Daarom lijkt het gebruik van een bank- of kredietkaart veel handiger.

De elektronische handtekening zou kunnen gebruikt worden om verkoopsovereenkomsten online te ondertekenen. Praktisch gezien wordt dit enkel gedaan voor verzekeringscontracten en niet voor de verkoop van consumentengoederen.

In de economische context speelt ook de privacy een grote rol: moet er een verkoopsovereenkomst met handtekening zijn voor elke transactie? En zo ja, is het dan nodig dat men zich bij elke transactie dient te authenticeren? Vele mensen vinden het anoniem zaken doen via Internet net een voordeel.

74

5 Psychologische context van de eID

In dit hoofdstuk wordt de psychologische context van de eID geanalyseerd. We bespreken hoe de diverse betrokken actoren staan tegenover de eID, wat hun attitudes zijn ten aanzien van de eID, wat voor hen de voordelen zijn en de hinderpalen voor het gebruik van de eID.

Dit hoofdstuk wordt als volgt opgedeeld:

Bevraging van gebruikers

Contacten met consumentenorganisaties

Enquête bij Nederlandstalige ondernemers

Enquête bij Franstalige ondernemers

Enquête en discussieforum bij jongeren (Internet)

Conclusies over de psychologische context van de eID

5.1 Bevraging van gebruikers

Methodologie Een aantal organisaties die een eID-applicatie hebben aangekocht, of zelf hebben ontwikkeld, werden opgebeld met de vraag hoe de applicatie gebruikt wordt en hoe de gebruikers staan tegenover het gebruik van de eID.

Universiteit Gent: registratie van studenten Binnen de Universiteit van Gent werd een interne eID-applicatie ontwikkeld voor de registratie van studenten. Deze applicatie wordt verderop besproken in het hoofdstuk over eID-toepassingen. Resultaten van de bevraging:

De applicatie wordt reeds voor het derde jaar op rij gebruikt.

De belangrijkste voordelen zijn: tijdswinst + correctheid van de gegevens.

Tijdens de zomermaanden wordt het dagelijks gebruikt voor de inschrijvingen, gemiddeld zo'n 150 maal per dag.

Het aantal studenten dat jaarlijks wordt ingeschreven is ongeveer 6000. Alle studenten die reeds over een eID beschikten zijn via deze applicatie ingeschreven.

Niemand heeft in de voorbije 3 jaar geweigerd om zijn eID te laten inlezen. Ook zijn er quasi geen negatieve reacties.

De meeste reacties zijn positief: ze zijn aangenaam verrast dat hun eID nuttig wordt gebruikt –het is vaak de eerste keer dat ze hun eID gebruiken – en men is verwonderd dat men de foto op het scherm kan zien.

Er zijn plannen om in de toekomst een online-applicatie te ontwikkelen zodat studenten zich van thuis uit kunnen inschrijven.

Binnenkort zal het systeem ook worden aangewend voor nieuw aangeworven personeel door een integratie van de eID-applicatie in het HR-systeem.

75



K.U.Leuven: registratie van studenten Ook aan de K.U.Leuven gebruikt men de eID voor de registratie van studenten. De resultaten van de bevraging zijn gelijkaardig aan die van de Gentse universiteit. Men heeft de applicatie het vorige academiejaar voor de eerste keer gebruikt. De reacties van de studenten waren neutraal tot positief en er waren geen weigeringen.

De Oesterbank: registratie van werknemers De Oesterbank, een beschutte werkplaats in Oostende, gebruikt een eID-applicatie voor het registreren van hun werknemers, namelijk voor het lezen en afdrukken van gegevens van de eID.

De applicatie wordt reeds gedurende ongeveer een jaar dagelijks gebruikt bij de inschrijving van nieuwe werknemers en bij eventuele aanpassingen aan de gegevens.

Als voordeel werd de tijdswinst en de correctheid van de gegevens vermeld.

Er werden geen weigeringen noch negatieve reacties gemeld.

Opmerking: deze applicatie wordt enkel gebruikt om de eID-gegevens in te lezen en af te printen, de gegevens worden dus niet in elektronische vorm gebruikt.

Mobiel: registratie van huurders Mobiel, een vzw uit Kortrijk die fietsen verhuurt, gebruikt een eID-applicatie voor het registreren van huurders, zowel op de private markt als aan studenten van de universiteit (KULAK) en de hogescholen van Kortrijk.

De eID wordt gelezen en een huurcontract wordt automatisch ingevuld.

De applicatie is in gebruik sinds januari 2007.

De applicatie werd reeds meer dan 1500 maal gebruikt, gemiddeld 5x per dag.

Het feit dat buitenlandse eID-kaarten niet kunnen ingelezen worden vormt een beperking.

Opnieuw werd als voornaamste voordeel de tijdswinst en de correctheid van de gegevens vermeld.

Er werden geen weigeringen noch negatieve reacties gemeld.

Cultuurcentrum: online bestellen van tickets en abonnementen en inschrijven cursus Het Cultuurcentrum Ter Dilft in Bornem gebruikt een eID-applicatie voor het online bestellen van tickets en abonnementen en voor het inschrijven voor cursussen. Men kan dit doen met een token of via de eID, met pincode. De applicatie wordt aangeboden via de website www.terdilft.be.

De applicatie wordt dagelijks gebruikt.

In een eerste pilootfase, om de applicatie te promoten, werd aan gebruikers een gratis kaartlezer aangeboden bij gebruik van de applicatie, die gedurende een beperkte periode aan de receptie van het cultuurcentrum stond.

Als grote voordelen werden genoemd de tijdswinst en de correctheid van de gegevens, bij adreswijziging vergeten mensen vaak om dit door te geven, met de eID gaat het automatisch.

Er werden geen weigeringen noch negatieve reacties gemeld. Volgens de organisatie ligt de gebruiker niet wakker van eventuele bezorgdheden over de privacy.

De applicatie kan in de toekomst ook gebruikt worden voor het reserveren en verhuren van zalen.

http://www.terdilft.be

76

5.2 Contacten met consumentenorganisaties

Zowel TestAankoop als het OIVO (Onderzoeks- en Informatiecentrum van de Verbruikers-Organisaties) hebben slechts sporadisch onderzoek gedaan naar de eID, in Budget&Recht van mei/juni 2005 is een artikel verschenen met een algemene uiteg over de eID, maar geen onderzoek bij gebruikers. De consumentenorganisaties zijn er nog niet echt mee bezig omdat er nog maar zeer weinig applicaties op de markt zijn. De mening van het OIVO is de volgende:

Zij vinden dat de gebruikers misleid zijn. Men had hen beloofd dat ze met de eID heel veel mogelijkheden zouden hebben, maar in de realiteit zijn er nog niet veel applicaties in gebruik.

De gebruiker moet betalen voor de eID, in sommige gemeenten tot 3x de prijs van een gewone identiteitskaart, voor een kaart die hen voorlopig niet veel opbrengt. Integendeel, men heeft er meer problemen mee dan met de vroegere kaart, bijvoorbeeld in het buitenland.

Indien men de eID wil gebruiken, dan moet een apparaat worden aangeschaft. De gebruiker heeft geen informatie over deze apparaten, waar ze te verkrijgen zijn en hoeveel ze kosten. Ze zijn niet geneigd om deze apparaten aan te schaffen.

De overheid had moeten voorzien dat de prijs tenminste in elke gemeente hetzelfde zou zijn. En eigenlijk had de kaart gratis moeten zijn. De overheid moet ook meer informatie geven.

5.3 Enquête bij Nederlandstalige ondernemers

In dit hoofdstuk worden de resultaten weergegeven van de bevraging bij een groep Nederlandstalige ondernemers. In het volgende hoofdstuk wordt een gelijkaardige beschrijving gegeven van een bevraging bij een groep Franstalige ondernemers.

Methodologie In het kader van deze studie werd een enquête gehouden bij een honderdtal Vlaamse ondernemers (KMO’s). Deze enquête werd afgenomen tijdens de KMO-Inspiratiedagen, georganiseerd door KMO-IT, een vzw gegroeid uit de ICT-werking van Unizo. Het onderwerp van de conferentie was "Meer halen uit ICT".

De conferentie bestond uit een 15-tal workshops over ICT-oplossingen en een doorlopende beurs met infostanden van de 15 partners van KMO-IT (o.a. Certipost, Isabel, Belgacom, enz).

Onze deelname was een workshop over de eID en een informatiestand waar we ondernemers hebben aangesproken en hen gevraagd hebben een vragenlijst over de eID in te vullen (deze vragenlijst is te vinden in de bijlage). In totaal hebben 102 ondernemers de vragenlijst ingevuld.

Het resultaat van deze enquête wordt hieronder weergegeven alsook een samenvatting van de voornaamste punten uit de discussies die we met de ondernemers over het onderwerp hebben gevoerd, tijdens de beurs en tijdens en na de workshop over eID.

De KMO-Inspiratiedagen zijn doorgegaan in 3 regio's op 28 november, 29 november en 4 december 2007, in Leuven, Edegem en Kortrijk: we hebben dus een goede spreiding overheen de Vlaamse provincies.

77



5.3.1 Resultaten enquête

Hieronder worden de resultaten weergegeven van de enquête op basis van de vragenlijst. Waar mogelijk zullen we een vergelijking maken met de resultaten van een gelijkaardige enquête die door Agoria werd georganiseerd bij haar leden van 12 tot 19 oktober 2007 (bij 224 ondernemers).

1. Beschrijving van de respondenten

In totaal hebben 102 ondernemers de vragenlijst ingevuld: 31 op de beurs in Edegem, 37 in Leuven en 34 in Kortrijk.

In onderstaande grafieken wordt weergegeven in welke sectoren de ondernemers uit de bevraging actief zijn, de grootte van hun bedrijf, de verdeling over B2B/B2C en lokale versus internationale activiteiten.

Verdeling binnen de dienstensector

Andere36%

Boekhouding & financieel advies

6%

Consulting27%

ICT31%

In welke sector bent u actief?

Handel & distributie

20%

Industrie & productie

19%

Diensten61%


Andere36%

Boekhouding & financieel advies

6%

Consulting27%

ICT31%



20%


19%

Diensten61%

Het grootste deel van de ondernemers die de beurs bezochten leveren diensten: voornamelijk ICT en consulting, maar ook boekhouding en financieel advies, verzekeringen, HRM, training en opleiding, immobiliën, administratieve ondersteuning, enz.

20% van de ondervraagden zijn actief in de handel en distributie en 19% in de industrie en productie.

78

Bedrijfsgrootte

50 à 250 werknemers14%


< 10 werknemers64%

Het grootste deel van de ondernemers (64%) behoort tot bedrijven van minder dan 10 werknemers. Daarvan is er iets minder dan de helft (29%) zelfstandig. 22% van de ondernemingen behoren in de categorie 10 tot 50 ondernemers en 14% in de categorie van 50 tot 250 werknemers. Geen enkele bevraagde ondernemer behoort tot een bedrijf met meer dan 250 werknemers.

Het grootste deel van de ondernemers doet enkel zaken met andere ondernemers (business-to-business), slechts een klein gedeelte (15%) doet enkel zaken met particulieren (business-to-consumer). Nog eens 24% doet zowel B2B als B2C.

Type business: B2B of B2C?

B2B61%B2C

15%

B2B en B2C24%

Lokale of internationale activiteiten?

beide18%

internationaal22% lokaal

60%


B2B61%B2C

15%

B2B en B2C24%


beide18%

internationaal22% lokaal

60%

Het grootste deel van de ondernemers (60%) is enkel actief op de lokale markt, 22% doet voornamelijk internationale activiteiten en 18% doet beide.

2. Kennis van de eID

Over de eID zelf werd allereerst gevraagd of ze reeds over een eID-kaart beschikken. Van de bevraagde ondernemers beschikt 63% reeds over een eID.

Beschikt u al over een eID?

ja63%

neen37%

79



Na een korte uitleg over de drie functionaliteiten van de eID werd hen gevraagd of ze deze functionaliteiten goed of niet goed kennen. De uitleg die vooraf werd gegeven is de volgende:

Identificatie: inlezen van gegevens die op de eID-kaart staan, zonder pincode

Authenticatie: effectief bewijzen wie u bent wanneer u een digitale transactie uitvoert, met pincode

Elektronische handtekening: u akkoord verklaren met gegevens op een digitaal document, met pincode

Uit de resultaten blijkt duidelijk dat identificatie het best gekend is, daarna authenticatie en daarna de elektronische handtekening.

Kent u de functionaliteit "identificatie" van de eID?

goed72%

niet goed28%

72% van de ondernemers kent de functionaliteit “identificatie” goed.

Kent u de functionaliteit "authenticatie" van de eID?

niet goed52%

goed48%

48% van de ondernemers kent de functionaliteit “authenticatie” goed.

Kent u de functionaliteit "elektronische handtekening" van de eID?

niet goed61%

goed39%

80

39% van de ondernemers kent de functionaliteit “elektronische handtekening” goed.

In de enquête van Agoria werd een gelijkaardige vraag gesteld over de drie functionaliteiten van de eID. Daar werd de vraag anders geformuleerd, namelijk “Kent u de drie basisfuncties van de eID?”, met een gelijkaardige beschrijving van elk van de basisfuncties.

De antwoorden in deze enquête zijn:

Identificatie Authenticatie Elektronische handtekening

ja 79% 80% 77%

nee 21% 20% 23%

Uiteraard is de vraagstelling anders en is het logisch dat bij een vraag: “Ken je het goed” (in onze enquête) de respons lager zal liggen dan bij de vraag “Ken je het?”. Toch is het frappant dat in de enquête van Agoria de cijfers voor elk van de drie basisfuncties in dezelfde grootteorde liggen terwijl in onze enquête er een duidelijk verschil is.

3. De eID voor persoonlijk gebruik De vraag werd gesteld of men de eID zou laten inlezen als het gevraagd wordt (als voorbeeld werd gegeven “bij de apotheker of bij het huren van een fiets”) of zelf zou gebruiken voor een beveiligde toegang tot een website (“bijvoorbeeld voor uw bankzaken”). Er werd ook bijkomend gevraagd: “Waarom wel? Waarom niet? Onder welke voorwaarden? Wat zijn uw bezorgdheden?”

Van de bevraagden heeft 58% “ja” geantwoord, zonder de vermelding van voorwaarden die moeten voldaan zijn. Bij de redenen waarom ze dit antwoorden wordt vooral vermeld:

Eenvoud & correctheid gegevens: 27%

Bewijskracht / betrouwbaarheid / veiligheid: 25%

Vooruitgang / het is de toekomst: 17%

Het totaal van bovenstaande percentages is niet 100% omdat niet iedereen die “ja” heeft geantwoord er ook een argumentatie bij gegeven heeft en omdat enkele kleinere categorieën niet werden weerhouden.

81



De eID voor persoonlijk gebruikZou u uw eID laten inlezen als men het vraagt?

neen9%

ja, onder voorwaarden33% ja

58%

Argumenten om het wel te doen

eenvoud & correctheid gegevens

27%

bewijskracht / betrouwbaarheid /

veiligheid25%

vooruitgang / het is de toekomst

17%


neen9%


58%



27%


veiligheid25%

vooruitgang / het is de toekomst

17%

Op de vraag “Onder welke voorwaarden” werden volgende antwoorden gegeven:

Onder welke voorwaarden?

andere voorwaarden45%

op voorwaarde dat ik weet welke gegevens

18%

enkel bij betrouwbare organisaties

15%

enkel bij een degelijke beveiliging

30%

enkel als mijn privacy niet geschonden wordt

67%

Bij “andere voorwaarden” werden o.a. de volgende antwoorden gegeven:

Enkel bij zekerheid dat er geen gebruik zal worden gemaakt voor commerciële doeleinden

Enkel als ik mijn gegevens ter plaatse kan controleren

Niet voor online applicaties

Enkel voor registratie, niet voor de andere basisfuncties

Via pincode enkel op cardreader terminal, niet op vreemde pc (vrees voor hacking)

82

Enkel als ik een gratis eID-kaartlezer krijg

Op voorwaarde dat er geen betaalverplichting aan verbonden is

4. De eID voor professioneel gebruik De vraag werd gesteld of men eraan denkt om de eID te gebruiken in de bedrijfsvoering, of het misschien reeds doet. Aan de bevraagden die “ja” of “misschien” hebben geantwoord werd gevraagd of ze het eerder voor B2B, bijvoorbeeld met leveranciers of voor B2C, bijvoorbeeld met eindgebruikers, zouden doen.

Uit de resultaten blijkt dat ondernemers positief staan tegenover het aanwenden van de eID in hun bedrijfsvoering: 75% heeft “ja” of “misschien” geantwoord. Slechts 25% antwoordde negatief.

De eID voor professioneel gebruikDenkt u eraan om uw eID te gebruiken in uw bedrijfsvoering?

neen25%

misschien13%

ja62%

Zou de eID eerder gebruiken voor B2B of voor B2C?

B2C51%

B2B49%


neen25%

misschien13%

ja62%


B2C51%

B2B49%

Uit de resultaten blijkt dat er geen voorkeur is voor B2B of B2C, ze scoren ongeveer even hoog.

83



Op de vraag “Waarvoor zou u de eID gebruiken” werden volgende antwoorden gegeven:

5. Hinderpalen voor het gebruik van de eID Er werd gepeild naar de hinderpalen die het gebruik van de eID in de bedrijfsvoering bemoeilijken. Aan de respondenten werd een lijst van 13 hinderpalen voorgelegd. Voor elke hinderpaal werd hen gevraagd om te bepalen hoe hinderlijk zij deze vonden op een schaal van 1 tot 4 (1 = weinig hinder, 4 = zeer grote hinder).

2,3

2,4

2,4

2,5

2,6

2,6

2,7

2,7

2,7

2,9

3

3

3,2Onvoldoende geïnformeerd over het gebruik en de toepassingen van de elektronische identiteitskaart.

Eindgebruikers staan wantrouwend tegenover het gebruik van de elektronische identiteitskaart.

Er zijn te weinig kant-en-klare en gebruiksvriendelijke toepassingen.

Het regelgevend kader loopt achter op de technologische evoluties.

Er is een gebrek aan duidelijk juridisch kader van de eID (juridische onduidelijkheid).

Niet iedereen heeft reeds een elektronische identiteitskaart.

De elektronische identiteitskaart is enkel geldig voor Belgen.

Men kan niet in de hoedanigheid van een functie binnen een bedrijf ondertekenen.

De bescherming van privacy & veiligheid kan onvoldoende worden gegarandeerd.

Men moet beschikken over alle tools: kaartlezer, software, enz.

Bedrijven hebben vaak al geïnvesteerd in een ander systeem (bijv. badge).

Het is een complexe materie voor de meeste mensen.

De toepassingen voor eID zijn te duur, vergen een te grote investering. 2,3

2,4

2,4

2,5

2,6

2,6

2,7

2,7

2,7

2,9

3

3

3,2Onvoldoende geïnformeerd over het gebruik en de toepassingen van de elektronische identiteitskaart.












De toepassingen voor eID zijn te duur, vergen een te grote investering.

Waarvoor zou u de eID gebruiken binnen uw bedrijfsvoering?

e-transacties (e-commerce, e-banking, e-

learning)7%

elektronische handtekening8%

afsluiten van contracten (bijv. verhuur materiaal)

6% identificatie van klanten31%

authenticatie / toegang tot systemen en gebouwen /

tijdsregistratie24%

administratie met de overheid (e-gov)

13%

boekhouding, bestellingen & facturatie

11%

84

In de enquête van Agoria werden een aantal gelijkaardige hinderpalen voorgelegd. Het cijfer achter elke hinderpaal geeft het aantal respondenten dat de hinderpaal heeft geselecteerd.

Onvoldoende geïnformeerd over gebruik & toepassingen: 42

Niet iedereen heeft er één: 37

Kaartlezer: verspreiding en complexiteit met software: 33

Security & privacy & juridische verantwoordelijkheid: 28

Wantrouwen / schrik: 15

Enkel geldig in België/ Wat met buitenlanders?: 14

Gebrek aan valabele toepassingen: 10

Kostprijs: 10

We gebruiken andere kaarten: 9

Administratie: 3

Conclusies uit de vergelijking van beide enquêtes :

Opvallend is de hinderpaal die in beide enquêtes als eerste wordt vernoemd, namelijk het onvoldoende geïnformeerd zijn over het gebruik en de toepassingen van de eID.

De hinderpaal m.b.t. de veiligheid, privacy en de juridische verantwoordelijkheid scoort in beide enquêtes hoog. In ons onderzoek is het verwoord als wantrouwen van de eindgebruikers en gebrek aan duidelijk juridisch kader.

Het feit dat men moet beschikken over de nodige tools alsook de complexiteit van de materie is een belangrijkere hinderpaal in de enquête van Agoria dan in onze enquête.

Het feit dat bedrijven reeds gebruik maken van andere kaarten scoort in beide enquêtes relatief laag.

6. Stellingen over het gebruik van de eID Om de attitude ten aanzien van de eID te meten, werden een aantal stellingen voorgelegd. Aan de respondenten werd gevraagd om te bepalen in hoeverre ze het eens zijn met deze stellingen op een schaal van 1 tot 5 (1=volledig oneens, 2=oneens, 3=eens noch oneens, 4=eens, 5= volledig eens).

85



Het registreren van persoonlijke gegevens via de eID leidt tot minder fouten en onnauwkeurigheden.

Het gebruik van de elektronische handtekening zal leiden tot een grotere efficiëntie in de processen.

Het rijksregisternummer mag gebruikt worden als unieke sleutel in een bedrijfsdatabank.

Eenmaal ze mijn elektronische identiteit kennen kunnen mijn gegevens worden doorgegeven zonder dat ik het weet.

Het voordeel van het gebruik van de eID bij e-commerce is dat de identiteit van verkoper en koper bekend is zodat de transactie in meer vertrouwen kan gebeuren.

Eenmaal ze mijn elektronische identiteit kennen is de kans groot dat ik allerlei ongewenste reclame toegestuurd zal krijgen.

Een elektronisch systeem is onveiliger dan een papieren systeem omdat het makkelijker gekraakt of frauduleus gebruikt kan worden.

Het werken met digitale facturen is zeer omslachtig.

Score 4,6: eens tot volledig eens

Score 4: eens

Score 3,9: eens

Score 3,7: eerder eens

Score 3,3: eens noch oneens



Score 2,5: eerder oneens










Score 4: eens

Score 3,9: eens















Score 4: eens

Score 3,9: eens






Conclusies:

Het valt op dat de bevraagde ondernemers het volmondig eens zijn met een aantal voordelen die de eID biedt: minder fouten bij registratie van gegevens en een grotere efficiëntie in de processen.

Ze zijn redelijk overtuigd dat het rijksregisternummer gebruikt mag worden als unieke sleutel in een bedrijfsdatabank, m.a.w. ze liggen niet echt wakker of zijn zich niet bewust van de juridische consequenties ervan.

Ze zijn wantrouwig of behoedzaam voor de mogelijke gevaren die kunnen optreden met betrekking tot het eventueel doorgeven van gegevens buiten hun weten om.

Ze zien de voordelen van het gebruik van de eID in e-commerce, namelijk bekendheid identiteit van koper en verkoper.

Ze zijn verdeeld over de stelling dat men allerlei ongewenste reclame toegestuurd kan krijgen.

Ook over de gevaren van het kraken of frauduleus gebruiken van een elektronisch systeem in het algemeen is men onbeslist.

Men is het eerder oneens met de stelling dat het werken met digitale facturen zeer omslachtig is: dit bewijst toch een eerder open houding (of een onwetendheid) ten aanzien van het gebruik van digitale facturatie.

86

7. Ideeën voor nuttige toepassingen van de eID Op de vraag “Heeft u zelf nog ideeën voor nuttige toepassingen van de elektronische identiteitskaart” werden de volgende antwoorden gegeven.

Ideeën voor nuttige toepassingen van de eID

1 kaart voor alles (eID, SIS, bank, rijbewijs,...)

34%

toegang op beveiligde websites14%

eID voor het bedrijf8%

eID als klantenkaart14%

eID als toegangsbadge8%

andere ideeën22%

Merk op dat deze percentages slechts een beperkt aantal respondenten vertegenwoordigen (in totaal hebben 37 respondenten geantwoord op deze vraag).

Bij “andere ideeën” werden o.a. de volgende antwoorden gegeven:

De eID hardware makkelijk en goedkoop aanbieden

Een grootschalige mediacampagne (TV, krant,…) organiseren met uitleg over de eID

Integreren van medische gegevens op de eID, o.a. de bloedgroep: nuttig bijvoorbeeld voor een snelle interventie bij een ongeval

Toegangscontrole op openbare locaties en bij evenementen (feesten, festivals,…)

Betaling autoweg vignet/tax

Als toegangssleutel voor een hotelkamer

5.3.2 Resultaten discussies met ondernemers

Hieronder worden de voornaamste hoofdlijnen uit de interacties met de ondernemers, zowel aan de infostand als tijdens de workshops, weergegeven.

Kennis van de eID: Een aantal ondernemers associëren de term “elektronische identiteitskaart” niet met hun nieuwe identiteitskaart.

De meeste ondernemers kennen enkel e-government toepassingen met de eID, bijvoorbeeld tax-on-web, aanvragen van subsidies, administratie rond sociale zekerheid, enz.

87



Stimulatoren voor het gebruik van de eID: Enkele ondernemers getuigden tijdens de workshops dat ze tevreden zijn over het werken met de eID, nadat ze de moeilijk procedures van de installatie van de soft- en hardware hadden doorgeworsteld.

o Het is goedkoper dan het werken met de certificaten op naam van het bedrijf, want zowel de certificaten zelf als de dienstverlening om ze te gebruiken moeten betaald worden.

o Een aantal overheidstoepassingen, bijvoorbeeld het neerleggen van de jaarrekeningen, kunnen zowel door de ondernemer zelf als door de boekhouder met hun persoonlijke eID gebeuren.

Inhibitoren voor het gebruik van de eID: Ondernemers zijn zeer slecht geïnformeerd over de eID: bijna niemand weet wat er op de chip staat.

Er is zeer weinig kennis van de mogelijkheden voor het gebruik van de eID in de bedrijfswereld. Kennis van bestaande applicaties is bijna onbestaande.

De technische hinderpalen zijn: kaartlezer aanschaffen, software installeren, applicaties aankopen,…

o Er zijn problemen met compatibiliteit met Isabel. Eén van de ondernemers gebruikt een kaartlezer die zowel de Isabel-kaart als de eID kan lezen: na het inlezen van de eID kon de kaartlezer de Isabel-kaart niet meer inlezen.

Ondernemers die internationaal werken zien geen voordelen aan de eID omdat het enkel voor Belgen bestaat.

Attitudes: Sommige ondernemers waren niet geneigd om hun eID op onze infostand te laten inlezen.

Er bestaan veel vooroordelen over de eID. Omdat men er zo weinig over weet, gaan sommige ondernemers zelf een invulling geven, bijvoorbeeld van wat er op de chip staat.

Tijdens de workshops is een discussie ontstaan over het feit dat de jongere generatie veel minder problemen heeft met privacy. Ze zijn alom tegenwoordig op Internet waar zij chatten en blogs aanmaken en vaak hun grootste geheimen zonder enig probleem prijsgeven. Ook als hen gevraagd wordt om hun eID te laten lezen hebben zij daar in het algemeen niet de minste moeite mee. Dit werd ook geconstateerd bij de reacties van producenten van eID-applicatie voor de registratie van bezoekers van evenementen, zoals bijvoorbeeld festivals en ook in dancings. Het komt erop neer dat de generatie die bezig is met de ontwikkeling van de eID-wetgeving en de eID-applicaties een heel andere attitude heeft dan de generaties die deze applicaties in de toekomst zullen gebruiken. Hier moet zeker rekening mee worden gehouden.

Vragen: Bestaat er software om de eID-gegevens in te lezen via de PDA (palm pilot)?

Hoe werkt de elektronische handtekening?

Kan de eID gebruikt worden voor de beveiliging van de toegang tot applicaties?

88

Waarom is het rijksregisternummer zo gevoelig?

Discussies: Er was veel onenigheid tussen de ondernemers m.b.t. het opslaan van het rijksregisternummer. Men vroeg zich af of de eID kan gebruikt worden om gegevens die opgeslagen werden opnieuw te gebruiken?

o Bijvoorbeeld bij de organisatie van een evenement, stel dat er een nieuw evenement wordt georganiseerd, mogen dan de gegevens van de vorige keer worden hergebruikt? Om de persoon eenduidig te identificeren zou het nuttig zijn indien er gebruik kan gemaakt worden van het rijksregisternummer.

o Daarom werd de vraag gesteld of het rijksregisternummer mag omgezet worden naar een ander nummer met een algoritme waardoor je steeds terug het rijksregisternummer kan recupereren.

Ideeën voor het gebruik van de eID:

Tijdens de workshops kwamen dezelfde ideeën naar voor als tijdens de enquête, namelijk:

Vervangen van klantenkaarten

Integratie van de bankkaart

Integratie van het rijbewijs

Integratie van alle kaarten (bankkaart, SIS-kaart, enz.)

5.4 Enquête bij Franstalige ondernemers

Methodologie In het kader van deze studie werd een enquête gehouden bij een honderdtal Franstalige ondernemers, grotendeels uit Wallonië, enkele uit Brussel. Deze enquête werd afgenomen tijdens de ICT-beurs “Business Solutions” die doorging op 6 maart 2008 in het congrescentrum La Géode in Charleroi. Dit forum werd georganiseerd door Technofutur TIC, het competentiecentrum rond ICT voor Charleroi.

Het forum bestond uit een aantal seminaries over ICT-oplossingen en een doorlopende beurs met ongeveer 25 exposanten.

Onze deelname bestond uit een informatiestand waar we ondernemers hebben aangesproken en hen gevraagd hebben een vragenlijst over de eID in te vullen (deze vragenlijst is te vinden in de bijlage).

De resultaten van deze enquête worden hieronder weergegeven alsook een vergelijking met de resultaten van de enquête bij Nederlandstalige ondernemers.

89



5.4.1 Resultaten enquête

1. Beschrijving van de respondenten In totaal hebben 102 ondernemers de vragenlijst ingevuld. De respondenten zijn voornamelijk gesitueerd in Wallonië.

In onderstaande grafieken wordt weergegeven in welke sectoren de ondernemers uit de bevraging actief zijn, de grootte van hun bedrijf, de verdeling over B2B/B2C en lokale versus internationale activiteiten.


Diensten83%


9%


8%


Andere diensten47%

ICT53%

- Consulting- Bank- en verzekering- Opleiding en vorming- Administratieve ondersteuning- Human Resources- Sociaal secretariaat- Hulp aan KMO’s- Boekhouding & financieel advies- Communicatie & marketing


Diensten83%


9%


8%


Andere diensten47%

ICT53%

- Consulting- Bank- en verzekering- Opleiding en vorming- Administratieve ondersteuning- Human Resources- Sociaal secretariaat- Hulp aan KMO’s- Boekhouding & financieel advies- Communicatie & marketing

Het overgrote deel van de ondernemers (83%) levert diensten, voornamelijk ICT (53%) en daarnaast consulting, banken verzekering, opleiding en vorming, administratieve ondersteuning, HRM, sociaal secretariaat, hulp aan KMO’s, boekhouding en financieel advies, communicatie en marketing, enz.

8% van de ondervraagden zijn actief in de handel en distributie en 9% in de industrie en productie.

In vergelijking met de populatie in de Nederlandstalige enquête, is de dienstensector beter vertegenwoordigd (83% tegenover 61%) en de handel & distributie (8% tegenover 20%) en de industrie & productie (9% tegenover 19%) minder goed vertegenwoordigd.

90

Bedrijfsgrootte

> 250 werknemers14%



< 10 werknemers51%

De helft van de ondernemers (51%) behoort tot bedrijven van minder dan 10 werknemers. Daarvan is er iets minder dan de helft (23%) zelfstandig. 13% van de ondernemingen behoort tot de categorie 10 tot 50 ondernemers, 22% tot de categorie 50 tot 250 werknemers en 14% behoort tot de categorie meer dan 250 werknemers.

Deze populatie verschilt van die van de enquête bij Nederlandstalige ondernemers. Daar was de groep van >250 werknemers niet vertegenwoordigd, wat logisch is want de beurs waar de Nederlandstalige enquête werd uitgevoerd was gericht op KMO’s.

Bijna de helft van de ondernemers (47%) doet enkel zaken met andere ondernemers (B2B). Bij de Nederlandstalige enquête lag dit hoger, namelijk op 61%. Daarnaast doet 24% enkel zaken met particulieren (B2C) en 29% zowel B2B als B2C. Deze cijfers liggen hoger dan in de Nederlandstalige enquête.


beide15%

internationaal37%

lokaal48%


B2B en B2C29%

B2C24%

B2B47%

Bijna de helft van de ondernemers (48%) zijn enkel actief op de lokale markt (bij de Nederlandstalige enquête was dit 60%), 37% doen voornamelijk internationale activiteiten (bij de Nederlandstalige enquête was dit 22%) en 15% doen beide.

2. Kennis van de eID

Over de eID zelf werd allereerst gevraagd of ze reeds over een eID-kaart beschikken. Van de bevraagde ondernemers beschikt 64% reeds over een eID. Hier is er geen significant verschil met de Nederlandstalige enquête waar het aandeel 63% bedroeg.

91



Beschikt u al over een eID?

ja64%

neen36%

Na een korte uitleg over de drie functionaliteiten van de eID werd hen gevraagd of ze deze functionaliteiten goed of niet goed kennen. De uitleg die vooraf werd gegeven is de volgende:

Identificatie: inlezen van gegevens die op de eID-kaart staan, zonder pincode

Authenticatie: effectief bewijzen wie u bent wanneer u een digitale transactie uitvoert, met pincode

Elektronische handtekening: u akkoord verklaren met gegevens op een digitaal document, met pincode

Uit de resultaten blijkt duidelijk dat identificatie het best gekend is en daarna authenticatie en de elektronische handtekening die ongeveer even goed gekend zijn.

Kent u de functionaliteit "identificatie" van de eID?

goed59%

niet goed41%

59% van de ondernemers kent de functionaliteit “identificatie” goed. Dit percentage ligt lager dan bij de Nederlandstalige enquête waar het 72% bedroeg.

Kent u de functionaliteit "authenticatie" van de eID?

niet goed57%

goed43%

43% van de ondernemers kent de functionaliteit “authenticatie” goed (tegenover 48% bij de Nederlandstalige enquête).

92

Kent u de functionaliteit "elektronische handtekening" van de eID?

niet goed58%

goed42%

42% van de ondernemers kent de functionaliteit “elektronische handtekening” goed (tegenover 39% bij de Nederlandstalige enquête).

3. De eID voor persoonlijk gebruik De vraag werd gesteld of men de eID zou laten inlezen als het gevraagd wordt (als voorbeeld werd gegeven “bij de apotheker of bij het huren van een fiets”) of zelf zou gebruiken voor een beveiligde toegang tot een website (“bijvoorbeeld voor uw bankzaken”). Er werd ook bijkomend gevraagd: “Waarom wel? Waarom niet? Onder welke voorwaarden? Wat zijn uw bezorgdheden?”

Van de bevraagden heeft 59% “ja” geantwoord, zonder de vermelding van voorwaarden die moeten voldaan zijn. Dit is vergelijkbaar met de Nederlandstalige enquête waar het aantal 58% bedroeg. Bij de redenen waarom ze dit antwoorden is er wel een verschil:

Eenvoud & correctheid gegevens: 47% (Nederlandstalige enquête: 27%)

Bewijskracht / betrouwbaarheid / veiligheid: 19% (Nederlandstalige enquête: 25%)

Vooruitgang / het is de toekomst: 7% (Nederlandstalige enquête: 17%)

Het totaal van bovenstaande percentages is niet 100% omdat niet iedereen die “ja” heeft geantwoord er ook een argumentatie bij gegeven heeft en omdat enkele kleinere categorieën niet werden weerhouden.

Uit de cijfers blijkt dat Franstalige ondernemers in het algemeen meer de praktische voordelen zien van de eID, namelijk eenvoud en correctheid van de gegevens, en minder spontaan antwoorden dat het een vooruitgang of “de toekomst” betekent.

De percentages voor “neen” en “ja, onder voorwaarden” zijn vergelijkbaar met die uit de Nederlandstalige enquête.

93




neen13%


59%



47%


veiligheid19%

vooruitgang /het is de toekomst

7%

Op de vraag “Onder welke voorwaarden” werden volgende antwoorden gegeven:

Onder welke voorwaarden?

op voorwaarde dat ik weet welke gegevens

43%

op een gecontroleerde manier25%

enkel bij een degelijke beveiliging57%

enkel als mijn privacy niet geschonden wordt64%

als mijn gegevens niet worden doorgegeven aan derden

25%

ik ben onvoldoende geïnformeerd14%

beperkte functionele toegang tot nodige gegevens

18%

De genoemde voorwaarden zijn vergelijkbaar met deze opgesomd in de Nederlandstalige enquête.

94

4. De eID voor professioneel gebruik De vraag werd gesteld of men eraan denkt om de eID te gebruiken in de bedrijfsvoering, of het misschien reeds doet. Aan de bevraagden die “ja” of “misschien” hebben geantwoord werd gevraagd of ze het eerder voor B2B, bijvoorbeeld met leveranciers, of voor B2C, bijvoorbeeld met eindgebruikers, zouden doen.

De Franstalige ondernemers denken eraan om de eID ook te gebruiken in hun bedrijfsvoering, zij het minder dan de Nederlandstalige ondernemers:

61% heeft “ja” of “misschien” geantwoord (bij de Nederlandstalige enquête was dit 75%)

39% antwoordde negatief (bij de Nederlandstalige enquête was dit slechts 25%)


neen39%

misschien16%

ja45%


B2C57%

B2B43%


neen39%

misschien16%

ja45%


B2C57%

B2B43%

Uit de resultaten blijkt dat men eender denkt aan B2C dan aan B2B voor het gebruik van de eID (bij de Nederlandstalige enquête was dit: 51% B2C en 49% B2B).

95



Op de vraag “Waarvoor zou u de eID gebruiken” werden volgende antwoorden gegeven:

Waarvoor zou u de eID gebruiken binnen uw bedrijfsvoering?

identificatie van personen (bijv. klanten)

14%administratie met de overheid

(e-gov)19%

e-transacties (e-commerce, e-banking, e-learning)

22%

authenticatie / toegang tot systemen en gebouwen /

tijdsregistratie24%

elektronische handtekening14%

andere7%

De percentages voor “authenticatie”, “administratie met de overheid” en “elektronische handtekening” zijn vergelijkbaar met die van de Nederlandstalige enquête. Er zijn lichte verschillen maar die zijn verwaarloosbaar gezien het om kleine aantallen personen gaat. De resultaten voor e-transacties zijn ook gelijkaardig (in de Nederlandstalige enquête zijn ze opgesplitst, hier vormen ze één geheel).

De “identificatie van personen” scoort lager dan in de Nederlandstalige enquête (14% t.o.v. 31%). Hier dient wel te worden opgemerkt dat op de infostand op de KMO-IT beurs we een demonstratie hebben gegeven van een bezoekersregistratiesysteem, wat niet voorzien was op de Franstalige beurs. Dit kan een verklaring geven voor het verschil.

5. Hinderpalen voor het gebruik van de eID Er werd gepeild naar de hinderpalen die het gebruik van de eID in de bedrijfsvoering bemoeilijken. Aan de respondenten werd een lijst van 13 hinderpalen voorgelegd. Voor elke hinderpaal werd hen gevraagd om te bepalen hoe hinderlijk zij deze vonden op een schaal van 1 tot 4 (1 = weinig hinder, 4 = zeer grote hinder).

96

2,3

2,4

2,4

2,6

2,6

2,7

2,7

2,7

2,9

2,9

3

3

3,1













Onvoldoende geïnformeerd over het gebruik en de toepassingen van de elektronische identiteitskaart.

2,3

2,4

2,4

2,6

2,6

2,7

2,7

2,7

2,9

2,9

3

3

3,1



























Vergelijking met de Nederlandstalige enquête:

De eerste vijf hinderpalen zijn dezelfde in beide enquêtes. Het “onvoldoende geïnformeerd zijn over het gebruik en de toepassingen van de eID” wordt in beide enquêtes als eerste vernoemd.

Het grootste verschil tussen beide enquêtes zit in de hinderpaal “Men kan niet in de hoedanigheid van een functie binnen een bedrijf ondertekenen”. In deze enquête scoort deze hinderpaal laatst (score: 2,3) terwijl het in de Nederlandstalige enquête in het midden zit (score: 2,6).

Het feit dat het een complexe materie is scoort hier 2,6 en bij de Nederlandstalige enquête iets lager, namelijk 2,4.

Conclusie: In het algemeen is er geen groot verschil tussen de hinderpalen opgesomd door de Nederlandstalige en de Franstalige ondernemers. Het enige significante verschil is de score op de hinderpaal “Men kan niet in de hoedanigheid van een functie binnen een bedrijf ondertekenen”. Daar liggen Franstalige ondernemers blijkbaar minder wakker van dan Nederlandstalige ondernemers (score bij de Franstaligen 2,3 tegenover 2,6 bij de Nederlandstaligen).

6. Stellingen over het gebruik van de eID Om de attitude ten aanzien van de eID te meten, werden een aantal stellingen voorgelegd. Aan de respondenten werd gevraagd om te bepalen in hoeverre ze het eens zijn met deze stellingen op een schaal van 1 tot 5 (1=volledig oneens, 2=oneens, 3=eens noch oneens, 4=eens, 5= volledig eens).

97



Het registreren van persoonlijke gegevens via de eID leidt tot minder fouten en onnauwkeurigheden. Score 4,2: eens tot volledig eens

Het gebruik van de elektronische handtekening zal leiden tot een grotere efficiëntie in de processen. Score 4,1: eens

Het rijksregisternummer mag gebruikt worden als unieke sleutel in een bedrijfsdatabank. Score 3,9: eens


Score 3,9: eens

Eenmaal ze mijn elektronische identiteit kennen kunnen mijn gegevens worden doorgegeven zonder dat ik het weet. Score 3,3: eens noch oneens

Score 3,2: eens noch oneensEenmaal ze mijn elektronische identiteit kennen is de kans groot dat ik allerlei ongewenste reclame toegestuurd zal krijgen.

Een elektronisch systeem is onveiliger dan een papieren systeem omdat het makkelijker gekraakt of frauduleus gebruikt kan worden.Score 2,5: eerder oneens

Het werken met digitale facturen is zeer omslachtig.Score 2,3: eerder oneens

Conclusies:

Net zoals in de Nederlandstalige enquête zijn de bevraagde Franstalige ondernemers het volmondig eens met een aantal voordelen die de eID biedt: minder fouten bij registratie van gegevens en een grotere efficiëntie in de processen. In de Nederlandstalige enquête was de score op de eerste stelling 4,6 en die op de tweede stelling 4. De hoge score op de eerste stelling in de Nederlandstalige enquête kan opnieuw verklaard worden door het feit dat een registratiesysteem werd gedemonstreerd op de Nederlandstalige beurs.

De Franstalige ondernemers zijn het eens met de stelling dat het rijksregisternummer mag gebruikt worden als unieke sleutel in een bedrijfsdatabank (zelfde score als in de Nederlandstalige enquête). Net als de Nederlandstalige ondernemers liggen ze dus niet echt wakker of zijn zich niet bewust van de juridische consequenties ervan.

Ook met de vierde stelling, voordelen bij e-commerce door bekendheid identiteit van koper en verkoper, zijn de Franstalige ondernemers het eens, net zoals de Nederlandstalige ondernemers (score 3,7).

Net zoals de Nederlandstalige ondernemers zijn ook de Franstalige ondernemers wantrouwig of behoedzaam voor de mogelijke gevaren die kunnen optreden met betrekking tot het eventueel doorgeven van gegevens buiten hun weten om en het eventueel gebruiken van de gegevens voor reclamedoeleinden. Er is wel een verschil tussen beide enquêtes. De Nederlandstalige ondernemer is meer overtuigd (score 3,7) dat de gegevens kunnen worden doorgegeven zonder hun weten om dan de Franstalige ondernemer (score 3,3). De Franstalige ondernemer lijkt dus minder wantrouwig te zijn. De stelling over het toegestuurd krijgen van ongewenste reclame scoort bij beide ongeveer even hoog: 3,2 bij Franstaligen en 3,3 bij Nederlandstaligen.

De Franstalige ondernemers zijn het meer oneens (score 2,5) met de stelling dat een elektronisch systeem onveiliger zou zijn dan een papieren systeem dan de Nederlandstalige

98

ondernemers (score 2,9 dus eens noch oneens). Ook hier lijken de Franstalige ondernemers dus minder wantrouwig te zijn dan de Nederlandstalige.

Franstalige ondernemers zijn (net als Nederlandstalige ondernemers, score 2,5) het eerder oneens met de stelling dat het werken met digitale facturen zeer omslachtig is. Dit bewijst een eerder open houding (of een onwetendheid) ten aanzien van het gebruik van digitale facturatie.

7. Ideeën voor nuttige toepassingen van de eID Op de vraag “Heeft u zelf nog ideeën voor nuttige toepassingen van de elektronische identiteitskaart” werden de volgende antwoorden gegeven.

één kaart voor alles (eID, SIS, bank, rijbewijs)

invullen hotelfiche

toegang op beveiligde websites (o.a. minderjarigen)

e-commerce

een eID voor het bedrijf

de eID als badge

registratie van cursisten

login op PC

bij medische consultaties

een gratis webservice voor toegang tot websites beveiligd met eID

5.4.2 Conclusies vergelijking Franstalige en Nederlandstalige enquête

De resultaten van beide enquêtes zijn zeer gelijklopend. De verschillen die werden genoteerd zijn:

Franstalige ondernemers zien in het algemeen meer de praktische voordelen van de eID, maar ze zien de eID minder dan de Nederlandstalige ondernemers als een belangrijke vooruitgang.

De Franstalige ondernemers overwegen minder dan de Nederlandstalige ondernemers om de eID te gebruiken in hun bedrijfsvoering.

Franstalige ondernemers lijken in het algemeen meer vertrouwen te hebben in de beveiliging van een elektronisch systeem en ze hebben er meer vertrouwen in dat hun gegevens niet zullen worden doorgegeven buiten hun weten om.

Franstalige ondernemers liggen schijnbaar minder wakker van het feit dat ondernemers met de eID niet in de hoedanigheid van een functie binnen een bedrijf kunnen ondertekenen. Dit kan ook een tijdelijk fenomeen zijn natuurlijk, in de zin dat Nederlandstalige ondernemers er misschien al meer over nagedacht hebben en zo misschien al vaker op deze hinderpaal zijn gebotst.

99



5.5 Enquête en discussieforum bij jongeren (Internet)

Om de meningen van jongeren over de eID te kennen zijn we op zoek gegaan naar “chatrooms” op Internet over de eID. Op de gaming site www.9lives.be hebben we een discussieforum gevonden over de eID waar ook een (beperkte) enquête aan verbonden was.

Het is moeilijk te achterhalen welke de doelgroep is die de website bezoekt, omdat er geen informatie op de website zelf staat. De enige uitspraak over de website is: “9lives brengt je een straffe cocktail van game-nieuws, spelletjes en de coolste wedstrijden”. Gelet op de topics is de doelgroep grotendeels jongeren en fervente gamers.

De enquête werd gehouden in de maand december 2007, het discussieforum liep van 12 tot 18 december 2007. Aan de enquête hebben 314 personen deelgenomen, aan het discussieforum ongeveer een 70-tal personen. Uit de reacties op het forum te lezen gaat het grotendeels over scholieren en studenten, maar een aantal onder hen bevinden zich duidelijk reeds in een werksituatie, vermoedelijk twintigers.

Resultaten enquête

De resultaten van de enquête zijn de volgende (314 antwoorden, december 2007).

Uit de resultaten blijkt dat 64% de eID nooit gebruikt en dat 22,6% niet weet wat een eID is. Slechts 6% heeft een eID-lezer.

http://www.9lives.be

100

Greep uit de reacties op het discussieforum

Samenvatting van de reacties op het discussieforum

De meesten hebben hun eID nog nooit of zeer zelden gebruikt. Ze staan sceptisch tegenover de eID en vragen zich af wat het nut ervan is.

Als ze de eID al gebruikt hebben dan was dit:

o Voor overheidstoepassingen: aanvragen van een studiebeurs, invullen van belastingen, aanvragen van bewijs van goed gedrag en zeden en andere administratieve documenten

o Buiten de overheid: voor het opslaan van gegevens bij de bank, de videotheek en de fitness

o Bij controle door de politie

o Bij controle aan de douane

o Voor het tekenen van interim-contracten via Certipost

Van zodra er iemand melding maakt van de positieve aspecten van de eID en de mogelijkheden die het biedt zijn er mensen die daar positief op reageren. Vooral het feit dat meerdere kaarten overbodig kunnen worden – integratie van identiteitskaart, bibliotheekkaart, klantenkaarten,... – spreekt mensen aan.

Opvallend is dat ze weinig bezorgdheden hebben omtrent privacy. Er is geen enkele reactie geweest omtrent juridische aspecten.

Ze staan wel stil bij de technische belemmeringen. De belemmeringen die aangehaald worden zijn:

o De kaartlezers worden niet standaard meegeleverd en zijn vrij duur

o De software is niet compatibel voor alle toepassingen

o Moeilijke toegang voor softwareontwikkelaars: het is bijvoorbeeld allesbehalve evident om een useraccount te koppelen aan een eID, wat voor veel websites (bijvoorbeeld eBay) enorm handig zou kunnen zijn

101



De psychologische belemmeringen worden ook aangehaald maar het blijkt duidelijk dat zijzelf daar minder last van hebben, het gaat meer over psychologische drempels bij de bevolking in het algemeen.

Voor de meesten is een kaartlezer relatief onbekend. Ze vinden de prijs (het gemiddeld bedrag van 18€ werd genoemd) te hoog. Voorts vinden velen dat de overheid deze kost op zich zou moeten nemen.

Bij 5 personen was de chip eruit gevallen.

Blijkbaar zijn velen onder hen hun code al kwijtgespeeld.

“Het nuttigste dat ik ermee heb gedaan was gisterochtend het ijs van mijn autoruit krabben. Dat ging vroeger nogal wat sneller met die grote kaart.”

102

5.6 Conclusies over de psychologische context van de eID

Onwetendheid over de eID De eindgebruikers begrijpen het systeem niet goed. Ze zijn zich er niet altijd van bewust dat wanneer ze hun kaart in de kaartlezer steken de gegevens van de kaart zichtbaar zijn op het scherm van de persoon tegenover hen.

Sommigen weten zelfs niet wat de eID is. Toen we tijdens de ICT-beurs vroegen aan de mensen of zij al een elektronische identiteitskaart bezaten, dan antwoordden een aantal mensen negatief. Als we dan onze kaart toonden, dan begrepen ze waarover het ging.

Veel mensen zijn ervan overtuigd dat op de chip allerlei geheime of gevoelige informatie staat, zoals medische gegevens of loongegevens. Toen we tijdens de ICT-beurs aan ondernemers vroegen of we hun kaart mochten uitlezen, reageerden zij: “En wat ga je nu allemaal over mij te weten komen?”. Veel mensen denken meteen aan “Big Brother”. Wanneer we uitlegden dat er op de kaart alleen maar administratieve gegevens staan, werd soms met ongeloof gereageerd.

Complexiteit van de materie Vaak hebben we de opmerking gehoord: “Je moet een IT-wonder zijn om te kunnen werken met de eID. Het systeem is veel te complex”.

De complexiteit van de materie en het gebrek aan een basiskennis over deze aspecten dragen bij tot het negatieve gevoel dat mensen hebben over de eID, met name:

o Men begrijpt de technologie achter de eID niet.

o Men neemt niet de tijd om zich te informeren over de technische aspecten.

o Men is onvoldoende op de hoogte van de mogelijkheden van de eID.

o Uit onbegrip keert men zich tegen de eID, men begrijpt het nut er niet van, vind het te moeilijk en heeft geen interesse om er meer over te weten te komen of om de mogelijkheden ervan te benutten.

Sommigen denken dat er informatie op de kaart kan worden geschreven.

Het probleem is dat alles virtueel is. Mensen hebben een concreet beeld nodig. Als zij zich geen concreet beeld kunnen vormen, gaan mensen zelf een invulling geven. Door het feit dat er slechts weinig eID-applicaties in gebruik zijn wordt dit gevoel nog versterkt.

Relatief positieve ingesteldheid van ondernemers Uit de resultaten blijkt dat ondernemers relatief positief staan tegenover het aanwenden van de eID in hun bedrijfsvoering. Men denkt eender aan B2C dan aan B2B.

Men zou de eID voornamelijk gebruiken voor de toegang tot systemen, gebouwen en beveiligde websites, voor de identificatie van personen, voor e-commerce en e-banking, voor de administratie met de overheid, voor de elektronische handtekening, voor facturatie, bestellingen en boekhouding en voor het afsluiten van contracten.

103



Onduidelijkheid over het juridisch kader De bevraagde ondernemers zijn van mening dat er een gebrek is aan een duidelijk juridisch kader van de eID en dat in het algemeen het regelgevend kader achterloopt op de technologische evoluties.

Er is bovendien onduidelijkheid over het gebruik van het rijksregisternummer, bij de bevraagde ondernemers en bij de gecontacteerde producenten van eID-applicaties. Men vraagt zich af wanneer het gebruikt mag worden en onder welke voorwaarden? Of het mag gelinkt worden aan interne bedrijfsinformatie? Of het opgeslagen mag worden? Zo ja, gedurende welke termijn?

Anderzijds blijkt uit de enquête dat de bevraagde ondernemers niet echt wakker liggen (of zich bewust zijn) van de juridische consequenties van het gebruik van het rijksregisternummer.

Identificatie in een administratieve context wordt relatief makkelijk aanvaard Uit de bevraging van gebruikers van eID-toepassingen blijkt dat, in de praktijk, de meeste mensen er weinig problemen mee hebben om de eID te gebruiken daar waar zij vroeger ook reeds hun identiteitskaart moesten tonen. Het betreft hier meestal een administratieve formaliteit in een face-to-face contact, zoals bijvoorbeeld aan de receptie van een hotel, bij het huren van een fiets of bij de inschrijving voor een opleiding. Het gaat hier dus om de identificatiefunctie van de eID.

De resultaten uit de enquêtes bij ondernemers tonen aan dat, als het hen gevraagd wordt, slechts ongeveer 60% van hen bereid is om hun eID te laten uitlezen, zonder zich hierover vragen te stellen. Dat is dus een pak lager dan uit de bevraging bij gebruikers waar er quasi geen weigeringen waren. Ongeveer 30% zegt het te willen doen onder bepaalde voorwaarden en nog eens ongeveer 10% zou het weigeren.

Het blijkt dus dat als het hen gevraagd wordt (hypothetische situatie) mensen gaan nadenken en eerder weigerachtig staan terwijl ze het in een concrete situatie in de praktijk vermoedelijk gewoon zouden doen zonder zich er vragen bij te stellen, zeker in een context zoals hierboven geschetst.

Ondernemers die weigerachtig stonden tegenover het uitlezen van hun eID konden wel relatief gemakkelijk overtuigd worden door het geven van een demonstratie die aantoonde dat enkel de gegevens die visueel op de kaart staan worden uitgelezen (plus het adres). De meesten zijn dan gerustgesteld en zien de voordelen van een identificatie met de eID, namelijk het feit dat gegevens sneller en op een correcte manier kunnen worden geregistreerd.

Authenticatie en elektronische handtekening zijn relatief onbekend Uit de enquête met ondernemers blijkt dat slechts ongeveer 45% bekend is met de functionaliteit authenticatie en 40% met de functionaliteit elektronische handtekening.

De bevraagde ondernemers zijn het eens met de stelling dat het gebruik van de elektronische handtekening zal leiden tot een grotere efficiëntie in de processen. Ze zijn zich dus bewust van de voordelen die de elektronische handtekening kan bieden.

Toch zijn er hier ook hinderpalen. Sommige mensen kunnen zich niet voorstellen hoe een elektronische handtekening eruit ziet, en zijn daarom weigerachtig om ze te gebruiken. Ook het gevoel van verlies van controle speelt hier een rol. Sommige mensen denken dat als je iets elektronisch ondertekent, dat die handtekening dan op je PC kan blijven staan en dat anderen die dan kunnen gebruiken/misbruiken.

104

Jongeren hebben minder problemen met privacy Uit de bevraging bij gebruikers (o.a. bij universiteiten) blijkt dat jongeren weinig problemen hebben met privacyaspecten gelinkt aan de eID.

Ook in de telefonische contacten met de producenten van eID-applicaties voor de registratie van bezoekers aan evenementen en dancings blijkt dat jongeren geen problemen hebben om zich met hun eID te laten registreren.

Dit kwam ook duidelijk naar voor tijdens de workshops met ondernemers. Daar werd gesteld dat jongeren veel minder problemen hebben met privacy omdat zij opgroeien in de virtuele wereld van mailen, chatten en bloggen.

105



6 Internationale context van de eID

6.1 Inleiding

De verhoogde mobiliteit van burgers die zowel binnen Europa als wereldwijd reizen, verhoogt het belang van elektronische diensten op afstand in alle sectoren: e-government, e-commerce, e-health, e-business, enz. Dienstverlening op afstand kan belangrijke kostenbesparingen met zich meebrengen die zowel de overheid, de burgers als de bedrijven ten goede komen.

Om deze diensten op afstand mogelijk te maken is een hoge mate van beveiliging vereist omdat het om persoonlijke en vaak gevoelige gegevens gaat en omdat het vaak juridisch bindende transacties betreft. Het is daarom noodzakelijk dat de dienstverlener zekerheid heeft over de identiteit van de gebruiker.

In dit domein kan de elektronische identiteitskaart een belangrijke rol spelen. Maar hier zijn wel een aantal voorwaarden aan verbonden. Zo dient de identificatie, authenticatie en elektronische handtekening mogelijk gemaakt worden over de verschillende landsgrenzen heen. Interoperabiliteitsstandaarden en technische oplossingen zijn van het allergrootste belang om een veilige en betrouwbare overdracht van identiteit te verwezenlijken.

Enkele belangrijke projecten en onderzoeksgroepen in het domein van interoperabiliteit op Europees niveau worden hier kort toegelicht:

“eID interoperability for PEGS” (PEGS staat voor “Pan European e-Government Services”). Dit is een project van het departement Directoraat-generaal voor Informatica van de Europese Commissie. Het project poogt een oplossing te bieden aan de wettelijke, technische en organisatorische vereisten met betrekking tot de verwezenlijking van een interoperabele Pan-Europese infrastructuur voor identiteitsbeheer. Eén van de belangrijkste bouwstenen hiervoor is een gemeenschappelijk authenticatiebeleid op verscheidene niveaus.

STORK: staat voor “Secure IdenTity AcrOss BoRders LinKed” en is een initiatief van Fedict naar meer eID-interoperabiliteit binnen Europa. De voornaamste doelstellingen zijn:

o Definiëren en testen van gemeenschappelijke specificaties voor een grensoverschrijdende architectuur

o Aanvaardbaar voor alle lidstaten en voor de industrie

o Bruikbaar met zo veel mogelijke technologieën

o Open en schaalbare oplossing

o Online toepassing

Porvoo Group: is een internationaal netwerk van regeringsvertegenwoordigers met als doel een transnationale, interoperabele elektronische identiteit, gebaseerd op PKI-technologie, te bevorderen. Hierdoor kunnen veilige e-transacties in Europa worden verzekerd, zowel in de openbare als in de particuliere sector. De Groep Porvoo werd opgezet in de Finse stad Porvoo in April 2002 en komt tweemaal per jaar samen.

BRITE: is het acroniem voor "Business Register Interoperability Throughout Europe". Het is een onderzoeksproject, gefinancierd door de Europese Commissie, voor de totstandbrenging van links tussen bedrijfsregisters. Brite zal zich concentreren op de praktische communicatielinks die bijdragen in het beheer van de registers in het licht van stijgende grensoverschrijdende handel in een meertalige omgeving.

106

6.2 Bespreking van ontwikkelingen op vlak van eID in enkele landen Uit het draft rapport van een studie van Siemens in het kader van “eID Interoperability for PEGS”, namelijk “Common specifications for eID interoperable solutions” blijkt dat 28 van de 32 lidstaten en kandidaat-lidstaten van de EU identiteitskaarten uitgeven. Van deze 28 landen hebben 7 landen een elektronische identiteitskaart en zijn 14 landen bezig met het ontwerp van een eID-kaart.

De elektronische identiteitskaart, gebaseerd op een PKI-systeem, blijkt dus de belangrijkste identificatieoplossing te zijn in de onderzochte landen. Hierbij dient opgemerkt te worden dat de meeste reeds uitgevoerde eID-oplossingen niet interoperabel zijn. Bovendien moet men in gedachten houden dat op PKI-gebaseerde systemen niet de enige authenticatieoplossingen zijn. Hiermee zal rekening moeten worden gehouden bij het opstellen van gemeenschappelijke specificaties.

In sommige landen is het identiteitsbewijs gekoppeld aan andere dragers dan enkel een elektronische identiteitskaart, zoals bijvoorbeeld de bankkaart, de mobiele telefoon, de sociale zekerheidskaart, enz.

107



In dit hoofdstuk worden de ontwikkelingen op het vlak van de elektronische identiteit in enkele landen beschreven. We bespreken enkele Europese landen die hierin ver ontwikkeld zijn, alsook onze buurlanden. Ook Singapore wordt besproken.

6.2.1 Estland

ID-kaart Estland is ver gevorderd op het gebied van e-government. Het was het eerste land waar bij verkiezingen via het internet kon worden gestemd (in oktober 2005, bij de verkiezing van Local Government Councils), gebruik makend van het PKI-certificaat op de ID-kaart.

In Estland worden PKI-certificaten vooral gebruikt als authenticatiemiddel voor online diensten, zowel in openbare diensten als in diensten die door privé-ondernemingen worden aangeboden. De PKI-certificaten voor de ID-kaart worden uitgegeven door een certificatieautoriteit in opdracht van de overheid. De ID-kaart kan gebruikt worden voor authenticatie en de elektronische handtekening. Deze functionaliteiten worden ondersteund door een PKI-infrastructuur. Er zijn twee pincodes: één voor authenticatie en één voor de elektronische handtekening.

De ID-kaart is verplicht voor iedereen boven de 15 jaar en voor buitenlanders die een jaar of langer in het land verblijven. De ID-kaart is een officieel bewijs van identiteit en wordt aanvaard als Europees reisdocument. Momenteel heeft reeds bijna 90% van de bevolking een elektronische ID-kaart (meer dan 1 miljoen kaarten werden geactiveerd). Het rijbewijs werd geïntegreerd in de ID-kaart.

Aan de ID-kaart is een persoonlijk mailadres gelinkt dat alleen gebruikt kan worden om inkomende mail te laten doorsturen. Het dient als officieel informatiekanaal voor de communicatie met overheden en bedrijven. Het kan echter ook gebruikt worden door anderen. Dit mailadres is een publiek gegeven dat verbonden is met het persoonlijk identificatiecertificaat.

6.2.2 Oostenrijk

e-card Burgerkarte De e-card Burgerkarte is, in tegenstelling tot wat de naam doet vermoeden, geen fysieke kaart, maar wel een elektronisch identiteitsbewijs (een token). Het wordt uitgegeven door diverse particuliere en openbare sectoren. Het kan op verschillende dragers geplaatst worden, bijvoorbeeld op een bankkaart, op de SIM-kaart van een GSM, op de kaart van de ziekteverzekeraar, op een USB-stick, enz. Dit identiteitsbewijs is reeds aanwezig op elke mobiele telefoon sinds 2004, elke bankkaart sinds 2005, de sociale zekerheidskaart die in 2005 werd uitgerold en de kaarten van de ambtenarendiensten. Studenten kunnen de token op hun studentenkaart laten zetten.

In totaal komt dit op ongeveer 15 miljoen smartcards en mobiele telefoons waarop een token (al dan niet geactiveerd) aanwezig is, voor een bevolking van minder dan 9 miljoen inwoners. Aldus heeft elke burger de keuze in tokens die als identiteitsbewijs kunnen worden geactiveerd. Men is niet verplicht om een token te activeren, dus om een elektronisch identiteitsbewijs te hebben. Momenteel werden ongeveer 10 miljoen tokens geactiveerd.

De tokens kunnen gebruikt worden voor authenticatie en de elektronische handtekening. Deze functionaliteiten worden ondersteund door een PKI-infrastructuur.

De certificaten kunnen door zowel de openbare sector als de particuliere sector worden verstrekt. Bij de activering van een identiteitsbewijs worden de kosten voor de certificaten, bijvoorbeeld op de bankkaart of de GSM, aangerekend door certificatieautoriteiten uit de particuliere sector. De activering van het identiteitsbewijs op de sociale zekerheidskaart is kosteloos.

108

De bescherming van persoonsgegevens wordt gegarandeerd door sector-specifieke “identifiers”. Er is geen uniek identificatienummer aanwezig op de tokens, wel een code die afgeleid werd, door encryptie, van het identificatienummer waardoor de privacy gewaarborgd wordt.

De Oostenrijkse Burgerkarte is een technologieneutraal en open concept. De tokens van een aantal buitenlandse eID-kaarten, zoals de Belgische, Estlandse, Finse en Italiaanse kaarten zijn reeds geïntegreerd.

6.2.3 Finland

FINeID Finland is een pionier op het vlak van e-government. Het was het eerste land met wetgeving op het gebied van elektronische dienstverlening door de overheid en wetgeving over het gebruik van de elektronische identiteitskaart.

In Finland worden PKI-certificaten vooral gebruikt als authenticatiemiddel voor online diensten. Op de website van de Finse overheid kunnen diverse soorten certificaten aangevraagd worden: certificaten voor burgers, organisaties, servers of e-mailadressen. In Finland worden certificaten courant gebruikt.

Het personeel van de Finse centrale overheid gebruikt een elektronische identiteitskaart met een certificaat specifiek voor werknemers van de overheid, sinds 2006. Deze kaarten, alsook de certificaten ervan, worden uitgegeven door de centrale overheid.

Het certificaat voor de elektronische identiteitskaart voor burgers (FINeID) wordt ook uitgegeven door de centrale overheid, maar de kaarten zelf worden uitgereikt door de Finse politie. De FINeID voor de burger is niet verplicht. De FINeID wordt aanvaard als officieel identiteitsbewijs en goedgekeurd als reisdocument in Europese landen. Kaarthouders kunnen beslissen om hun gegevens van de sociale zekerheid te laten registreren op de FINeID.

Naast de FINeID kan het burgercertificaat ook worden aangebracht op andere smartcards, zoals de bankkaart en de SIM-kaart van de GSM.

6.2.4 Italië

CIE Men is in Italië reeds in 2001 gestart met de invoering van een elektronische identiteitskaart. Italië was daarmee het tweede land (na Finland) die de elektronische identiteitskaart invoerde. Ondanks deze vroege start, is de kaart, als gevolg van technische, politieke en organisatorische redenen, vandaag slechts beperkt verspreid (minder dan 2 miljoen).

Men werkt momenteel aan een elektronische identiteitskaart die behalve als identiteitsbewijs ook dienst kan doen bij het gebruik van elektronische overheidsdiensten, waaronder de leeftijdscontrole in sigarettenautomaten en het vaststellen van de identiteit bij verkiezingen. De bedoeling is dat ook de gezondheidszorg en de fiscale dienstverleners zouden betrokken worden. De elektronische identiteitskaart bevat gekwalificeerde PKI-certificaten.

6.2.5 Zweden

ID-card Zweden heeft geen nationaal systeem voor identiteitsbewijzen dat door een openbaar bestuur wordt beheerd. De elektronische identiteitskaart is dan ook niet verplicht in Zweden. Er zijn wel

109



elektronische identiteitsbewijzen die worden uitgeven door privé-entiteiten, hoofdzakelijk banken. De introductie van de elektronische identiteitskaart in 2004 heeft geleid tot kaderovereenkomsten met een aantal leveranciers voor elektronische identiteitskaarten: BankID (9 verschillende banken), Nordea Bank, Steria en TeliaSonera Sverige.

Zweden heeft een traditie betreffende identiteitsbewijzen uitgereikt door privé-entiteiten. De Zweedse Post en verscheidene banken geven reeds enkele jaren persoonlijke identificatiekaarten uit. Sommige van deze kaarten kunnen als drager van de elektronische identiteit worden gebruikt. De elektronische identiteit kan echter ook worden bewaard op een andere smartcard of op de computer. Het identiteitsbewijs kan ook worden geïntegreerd in mobiele GSM-technologie.

Sinds 2005 worden door de politie nationale identiteitskaarten uitgegeven aan Zweedse burgers waarmee men door het Schengen-gebied kan reizen, wat niet mogelijk is met de identificatiekaarten van de privé-entiteiten.

6.2.6 Spanje

DNI-e In Spanje is men in 2006 begonnen met de uitreiking van de elektronische identiteitskaart (Documento Nacional de Identidad). Ze is verplicht voor iedereen ouder dan 14 jaar. De elektronische identiteitskaart kan gebruikt worden voor authenticatie en voor de elektronische handtekening, gelijkwaardig aan een handgeschreven handtekening.

Behalve de elektronische identiteitskaart, is er ook een ruim gebruikt systeem van PKI-certificaten die door 11 commerciële Certification Service Providers (zowel openbaar als privé) worden verstrekt. Deze worden in een groot aantal e-government authenticatiediensten gebruikt.

6.2.7 Portugal

Cartao de Cidadao In Portugal worden PKI-certificaten vooral gebruikt door enkele specifieke groepen, zoals advocaten, bijvoorbeeld voor de online oprichting van een onderneming of voor het verzenden van documentatie naar een gerechtshof.

Met de introductie van de Portugese elektronische identiteitskaart, de Cartao de Cidadao, zullen alle burgers in de toekomst kunnen beschikken over PKI-certificaten voor authenticatie en de elektronische handtekening. De Cartao de Cidadao zal verplicht zijn voor alle burgers als officieel identiteitsbewijs en wordt als reisdocument aanvaard binnen het Schengen-gebied.

De Portugezen nemen de Belgische eID als voorbeeld en gaan in de komende jaren nauw samenwerken met de Belgische overheid en firma's. Een intentieverklaring over de samenwerking tussen de twee landen werd ondertekend in februari 2007. Tegen 2013 moeten alle Portugezen beschikken over een elektronische identiteitskaart.

6.2.8 Singapore

SSID De “Singapore Standard for Smart Card ID” (SSID) is een gemeenschappelijke standaard voor diverse identificatiekaarten en hun leesapparaten die door overheidsagentschappen en privé-organisaties worden gebruikt. Het specificeert de gegevensstructuur, de beveiliging en de toegangsvoorwaarden voor een smartcard die persoonlijke identificatiegegevens bevat.

110

De standaard is gebaseerd op de specificaties voor elektronische paspoorten van de “International Civil Aviation Organization”. Dit betekent dat de twee systemen compatibel zullen zijn.

De standaard kan interoperabiliteitsproblemen vermijden en kosten reduceren. Daarnaast kunnen meerdere producenten instaan voor de productie van kaarten en kaartlezers waardoor de overheid niet afhankelijk is van één leverancier.

Twee organisaties gebruiken reeds kaarten en kaartlezers die de SSID-standaard ondersteunen, o.a. de “Civil Aviation Authority of Singapore”, die reeds 70.000 ID-kaarten voor haar personeel heeft uitgegeven, en de “PSA Singapore Terminals” die 100.000 kaarten heeft uitgereikt aan de havenarbeiders. De smartcards, met een dubbele interface (namelijk met en zonder contact), worden gebruikt voor identificatie en toegangsbeheer.

De SSID-standaard wordt ook, sinds november 2007, gebruikt in het nieuwe SingPass-systeem. SingPass is een gemeenschappelijke online identiteitskaart voor e-government.

De SSID-standaard is dé norm voor toekomstige smartcard ID-applicaties, omdat ze ook compatibel is met de internationale standaarden. Er wordt verwacht dat in de toekomst één smartcard zal gebruikt worden voor toegang, e-commerce, computer logins, en vele andere toepassingen.

6.2.9 Nederland

eNIK Het Ministerie van Binnenlandse Zaken werkt sinds 2004 aan de ontwikkeling van de elektronische Nederlandse Identiteits Kaart (eNIK). Momenteel wordt bekeken of en op welke wijze dit project kan worden voortgezet na de uitspraak in september 2007 van de rechter in een kortgeding dat door twee leveranciers tegen de Nederlandse overheid is aangespannen.

Naast het project voor de invoering van de elektronische identiteitskaart, wordt er in Nederland gewerkt met een Digitale Identiteit (DigID). Met DigiD kunnen burgers en bedrijven met één inlogcode bij elektronische diensten van steeds meer overheidsinstellingen terecht. DigiD is een gemeenschappelijk systeem van en voor de overheid, waarmee overheidsinstellingen de identiteit kunnen vaststellen van burgers en bedrijven die gebruik maken van hun elektronische diensten.

6.2.10 Frankrijk

In Frankrijk worden PKI-certificaten gebruikt voor e-government toepassingen, zowel voor burgers als voor bedrijven. Binnen de gezondheidszorg werd een eigen PKI-infrastructuur ontwikkeld met een smartcard voor authenticatie en de elektronische handtekening. In de toekomst zal deze smartcard ook gebruikt worden voor toegang tot medische gegevens.

Ook regionale overheidsdiensten werden in 2003 toegankelijk door middel van een smartcard (Carte de la Vie Quotidienne). In dat jaar begon men met de plannen voor een nationale eID-kaart. Deze dient onder meer voor het aanvragen van een paspoort. De eID-kaart bevat enkele biometrische kenmerken, waaronder een vingerafdruk en een digitale foto.

6.2.11 Duitsland

In Duitsland bestaat een smartcard voor gebruik in de gezondheidszorg. Behalve de naam en adresgegevens kunnen er op verzoek van de gebruiker belangrijke medische data op gezet worden. Daarnaast wordt gewerkt aan de opname via een chip met biometrische kenmerken in het paspoort, waarmee het paspoort een elektronische identiteitskaart wordt.

111



Deze elektronische identiteitskaart zal identificatie en authenticatie ondersteunen en (optioneel) de elektronische handtekening. De introductie is gepland voor 2009. Men denkt eraan om ook pseudoniemen voor beveiligde toegang tot Internet te integreren in de elektronische identiteitskaart

6.2.12 Verenigd Koninkrijk

In het Verenigd Koninkrijk zijn er PKI-certificaten in omloop, maar voornamelijk voor enkele specifieke diensten eerder dan op grootschalig centraal overheidsniveau. Voorbeelden zijn enkele lokale bestuursniveaus en het Driver and Vehicle Licensing Agency (DVLA) dat de digitale tachograafkaart uitreikt voor vrachtwagenbestuurders en sommige buschauffeurs.

Er zijn plannen om een smartcard rijbewijs in te voeren, maar hiervoor wacht het Verenigd Koninkrijk nog op de formele goedkeuring van de EU voor de standaarden hieromtrent.

Er is in het Verenigd Koninkrijk geen nationale identiteitskaart. Er zijn plannen om te starten met de elektronische identiteitskaart vanaf 2009. Deze kaarten moeten echter zelfbedruipend zijn gezien er geen subsidies van de overheid voorzien worden. Er is in het Verenigd Koninkrijk veel verzet tegen de plannen om een elektronische identiteitskaart in te voeren.

112

6.3 Vergelijkende tabel

In onderstaande tabel is de status weergegeven van de eID-initiatieven in enkele landen van de EU.

België Estland Oostenrijk Finland Italië Zweden Spanje Portugal

ID verplicht? ja ja nee nee nee ja ja

Planning 2004-2009 vanaf 2002 tokens aanwezig op diverse dragers sinds 2005

in uitvoering vanaf 1999

in uitvoering vanaf 2001 finalisatie voorzien in 2011

introductie in 2004, productie gestart in oktober 2005

in uitvoering, finalisatie voorzien in 2008

gepland: 2008 - 2012

Elektronische identiteit aanwezig op?

eID ID-kaart e-card Burgerkarte = token deze token kan ook geplaatst worden op een bankkaart, SIM-kaart, sociale zekerheidskaart, studentenkaart, USB-stick, enz.

FINeID burgercertificaat kan ook op geplaatst worden op bankkaart of SIM-kaart

CIE ID-card elektronische identiteit kan ook geplaatst worden op andere smartcards, op computer of op SIM-kaart

DNI-e

Cartao de Cidadao

Extra faciliteiten

integratie SIS-kaart

rijbewijs geïntegreerd in de ID-kaart persoonlijk mailadres gelinkt aan ID-kaart

tokens zijn standaard aanwezig op diverse dragers en dienen enkel geactiveerd te worden

mogelijkheid tot registratie gegevens sociale zekerheid

plannen om actoren gezondheidszorg te betrekken

Privacy-garanties

geen uniek ID-nummer, privacy gegarandeerd door sector-specifieke “identifiers”.

113



7 Analyse van eID-toepassingen

In dit hoofdstuk wordt een analyse uitgevoerd van eID-toepassingen, zowel deze die reeds op de markt te vinden zijn als deze die nog in ontwikkeling zijn.

Als vertrekbasis voor dit onderzoek hebben we de lijst genomen die op de eID-website van Fedict te vinden is. Via de interactieve landkaart van België kan nagegaan worden welke applicaties lokaal beschikbaar zijn. De producenten hebben vrijwillig hun eID-toepassingen gemeld aan de overheid.

Daarnaast hebben we via deskresearch en contacten bijkomende eID-toepassingen opgespoord.

Om gelijkaardige kenmerken te identificeren en selecties te vereenvoudigen wordt een categorisering van eID-toepassingen voorgesteld. Gebruikmakend van deze categorisering worden de bestaande eID-toepassingen geanalyseerd. Tenslotte wordt een overzicht gegeven van mogelijke toekomstige eID-toepassingen.

In het hiernavolgende hoofdstuk wordt dieper ingegaan op een aantal specifieke applicaties in de vorm van case studies. Het zijn toepassingen die volledig in de schoot van de eigen onderneming of organisatie werden opgezet, na een analyse van de processen die eraan ten grondslag liggen of het zijn ontwikkelingen die de bruikbaarheid of tekortkomingen van de eID in een bijzonder daglicht plaatsen.

7.1 Categorisering van eID-toepassingen

We hebben gezocht naar een voor de hand liggende manier om de eID-toepassingen in te delen in categorieën. We zijn uitgegaan van het standpunt van de ondernemer: stel dat een ondernemer in een bepaalde context eID wenst te gebruiken, hoe kan hij dan gemakkelijkst de juiste toepassing vinden.

Voor elke categorie wordt een beschrijving gegeven van het prototype, wordt een lijst van de bestaande applicaties gegeven en wordt een analyse op technisch, juridisch, economisch en psychologisch vlak uitgevoerd.

De individuele fiches van de eID-toepassingen alsook een lijst van de gecontacteerde producenten zijn te vinden in de bijlagen.

Indeling volgens functionaliteiten voor de ondernemer We kunnen de eID-toepassingen indelen volgens de reeds besproken functionaliteiten die zichtbaar zijn voor de gebruiker:

Registratie van de gegevens – identificatie van de gebruiker: applicaties die enkel gebruik maken van de gegevens die op de eID-kaart aanwezig zijn.

Bevestiging van identiteit – geautoriseerde toegang: applicaties die gebruik maken van de authenticatie-functionaliteit van de eID. De gebruiker dient zijn pincode in te tikken waardoor een bijkomende veiligheid wordt ingebouwd. In een afgeschermde omgeving, bijvoorbeeld in een interne applicatie binnen een bedrijf, kan de identiteit worden bevestigd door eigen controleprocedures op basis van een eigen databestand. In een meer universele omgeving zal het certificaat gecontroleerd worden (ofwel online, via OCSP, ofwel via een lokale kopie van de CRL-lijst).

Beveiligen en ondertekenen van documenten en e-mails: de gebruiker creëert een digitaal ondertekend bestand door gebruik te maken van de elektronische handtekening-functionaliteit van de eID-kaart.

114

Indeling volgens granulariteit van de applicatie We kunnen de eID-toepassingen indelen volgens granulariteit:

Component: Een bedrijf dat zelf applicaties wil ontwikkelen op basis van de eID-technologie zal eerder een eID-component aanschaffen en deze integreren in een bestaande of nieuwe toepassing.

Kant-en-klare applicaties: Bedrijven die niet willen investeren in het zelf ontwikkelen van applicaties, zullen eerder een kant-en-klare applicatie aankopen. Deze applicaties kunnen onderverdeeld worden in twee groepen:

o eID-applicaties: de eID-functionaliteit vormt de hoofdcomponent van de applicatie.

o eID geïntegreerd in softwarepakketten: de eID-functionaliteit is geïntegreerd in een softwarepakket en maakt slechts een klein onderdeel uit van het gehele pakket.

Maatwerk: dit zijn eID-applicaties die volledig op maat van de onderneming of organisatie worden ontwikkeld

Matrixstructuur In onderstaande tabel zijn de bovenstaande indelingen in een matrixstructuur weergegeven. Op die manier bekomen we 12 categorieën. Voor elke categorie wordt een voorbeeld gegeven.

Onder de tabel wordt aangegeven of de applicaties vooral lokaal – in een face-to-face contact of aan een automaat – of via Internet of Intranet gebruikt worden.

Identificatie Authenticatie Elektronische handtekening

Componenten Identificatiemodule Authenticatiemodule e-Sign-module

eID-applicaties Bezoekersregistratie Beveiligde toegang tot website

Bijv. MyCertipost Kant-en-klare applicaties

eID geïntegreerd in softwarepakketten

Registratie van werknemers in HR-pakket

Inloggen in boekhoudsysteem

e-Sign geïntegreerd in Microsoft of Adobe producten

Maatwerk Registratie van studenten

Case study Ethias e-Sign geïntegreerd in eigen pakket

Voor een correct en veilig gebruik van authenticatie en de elektronische handtekening dient men te beschikken over een netwerkconnectie. Deze is noodzakelijk om te controleren of het certificaat nog geldig is. Eventueel kan dit via een lokale kopie van de CRL-lijst, maar deze moet dan wel gekopieerd worden van het internet en wordt liefst om de 3 uur vernieuwd.

Lokale toepassingen worden vooral gebruikt voor identificatie, dus gewoon het registeren van de gegevens van de eID (“data capture”).

vnl. face-to-face of automaat

vnl. Internet en Intranet

115



7.2 Analyse van bestaande eID-toepassingen

7.2.1 Componenten

Beschrijving

Met componenten bedoelen we eID-modules die kunnen geïntegreerd worden in applicaties. We bespreken de 3 categorieën samen: identificatiemodules, authenticatiemodules en e-sign-modules.

Voorbeelden

Bedrijven die eID-modules op de markt brengen zijn o.a. XLN-t, Arena Solutions, RoadByte, @rrowUp (lees: ArrowUp), Zetes, Gweb,... Ook de SDK (Software Development Kit) en de software voor authenticatie op een webserver van de overheid (Fedict) werden hier opgenomen.

Een greep uit de producten die zij aanbieden:

IDGetter (XLN-t): elektronische module om publieke gegevens van een eID-kaart te lezen en gegevens uit te sturen naar een niet-PC-toestel zoals acces-controle-toestellen, verkoopautomaten en dergelijke.

IDagechecker (XLN-t): elektronische module om publieke gegevens van een eID-kaart of SIS-kaart te lezen en afhankelijk van de leeftijd 1 of 2 uitgangen aan te sturen, met een instelbare tijd en leeftijdsgrenzen - te gebruiken voor bijvoorbeeld sigarettenverkoopautomaten.

eID reader (Arena Solutions): voor het lezen van eID-gegevens en het opslaan als velden die gebruikt kunnen worden in applicaties.

eID View (RoadByte): module voor het tonen en printen van eID-gegevens. Het biedt tevens de mogelijkheid tot kopiëren en plakken van de gegevens naar andere applicaties en het printen van de gegevens.

Belgium Identity Card Developer’s Kit (Fedict): Software Development Kit (SDK) voor de eID, bestemd voor Microsoft, Apple en Linux. Deze software laat toe de inhoud van de eID uit te lezen, te valideren en af te drukken vanuit andere applicaties.

Belgian Identity Card Authentication Reverse Proxy (Fedict): software voor authenticatie op een webserver met de eID. Deze software laat toe om zich te authenticeren op een webserver of een applicatieserver op basis van de eID.

.be Card SDK (@rrowUp): Software Development Kit voor het integreren van publieke gegevens van de eID-kaart en publieke en private gegevens van de SIS-kaart (deze wordt gebruikt in medische applicaties).

.be Card SDK Professional (@rrowUp): Software Development Kit voor het integreren van publieke gegevens van de eID-kaart, publieke en private gegevens van de SIS-kaart en gegevens van de tachograafkaart (gebruikerskaart).

eID Development Kit (Zetes en Certipost, verkrijgbaar via de “eID shop” online): bestaat uit een aantal eID-testkaarten, toegang tot de validatiediensten voor certificaten, een set aan hulpmiddelen (o.a. source codes) en een eID-kaartlezer (er zijn meerdere varianten van deze development kit te verkrijgen).

eID Outlook (RoadByte): module voor het toevoegen van eID-gegevens in Microsoft Outlook.

eID XML (RoadByte): module voor het exporteren van eID-gegevens naar een XML-bestand.

eID Word (RoadByte): module voor het automatisch invoegen van eID-gegevens in een Word-template.

eID FileMaker (RoadByte): module voor het inladen van eID-gegevens in Filemaker.

myFMbutler eID (myFMbutler): module voor het inladen van eID-gegevens in Filemaker.

116

We hebben hier de producten beschreven van slechts enkele fabrikanten. Uiteraard zijn er nog veel meer fabrikanten die gelijkaardige componenten op de markt brengen. Dit overzicht geeft enkel een idee van de mogelijkheden die de eID-modules kunnen bieden en is zeker niet exhaustief.

7.2.2 Kant-en-klare applicaties

De kant-en-klare applicaties kunnen onderverdeeld worden in twee groepen:

1. eID-applicaties: de eID-functionaliteit vormt de hoofdcomponent van de applicatie.

2. eID geïntegreerd in pakketten: de eID-functionaliteit is geïntegreerd in een softwarepakket en maakt slechts een klein onderdeel uit van het gehele pakket.

7.2.2.1 eID-applicaties

eID-applicaties - identificatie

Beschrijving

De eID-applicaties die gericht zijn op identificatie zijn de grootste groep binnen de kant-en-klare applicaties. De eID wordt aangewend voor het ingeven van de persoonsgegevens in een bestand. Omdat het om identificatie gaat, worden deze applicaties voornamelijk lokaal gebruikt, bijvoorbeeld in een face-to-face contact of aan een automaat. Er zijn echter enkele uitzonderingen, namelijk webapplicaties waar de pincode niet hoeft ingegeven te worden.

De kant-en-klare applicaties voor identificatie worden voornamelijk gebruikt in een B2C-context maar kunnen ook even goed plaatsvinden in een B2B-context.

Voorbeelden

Bedrijven die eID-applicaties, die gericht zijn op identificatie, op de markt brengen zijn o.a. @rrowUp, Arena Solutions, RoadByte, PlanetWinner, BSYS, Vsecurity, Sun Solutions, XLN-t, Vasco,...


Lokale applicaties (niet geconnecteerd) eID reading (@rrowUp): applicatie voor het lezen van de publieke gegevens van de eID en opslaan van de gegevens in een MS Access database.

eID capture & print (@rrowUp): applicatie voor het lezen en printen van de publieke gegevens van de eID.

.be eID Registration (@rrowUp): applicatie voor de registratie van de eID-gegevens van bezoekers met vermelding van het tijdstip van het bezoekuur, de duurtijd van het bezoek, de contactpersoon, enz. Er is mogelijkheid tot het afdrukken van een bezoekersbadge en er is ook mogelijkheid tot inscannen met een barcodelezer Deze toepassing wordt gebruikt aan de receptie van Fedict en bij Certipost.

Bezoekersregistratie (Arena Solutions): applicatie voor de registratie van de eID-gegevens van bezoekers met vermelding van het tijdstip van het bezoekuur, de duurtijd van het bezoek, de contactpersoon, enz. Er is mogelijkheid tot het afdrukken van een bezoekersbadge en men kan manueel gegevens toevoegen.

.be Guest (@rrowUp): applicatie voor de registratie van eID-gegevens van hotelgasten met vermelding van datum/tijd van aankomst en vertrek. Er is mogelijkheid tot het afdrukken van een hotelfiche.

117



eID Hotel (RoadByte): softwarepakket voor de reservatie en het dagelijks management van een hotel.

Winner (PlanetWinner): geïntegreerd management systeem voor hotels, conferentiecentra en restaurants met behulp van de eID. Het wordt gebruikt voor het opzoeken van gasten, het registreren van gasten, het actualiseren van de gegevens, het aanmaken van een klantenfiche en politiefiche, voor betaling in het hotelrestaurant en het aanmaken van de factuur.

Fitness Ledenbeheer (BSYS): applicatie voor het ledenbeheer en het beheer van abonnementen via de eID. De toegangscontrole gebeurt via aparte lidkaarten met barcode omdat dit sneller gaat dan via de chip van de eID en er minder kans is op “slijtage”.

.be Rent (@rrowUp): applicatie voor de registratie van eID-gegevens van klanten die iets huren, inclusief de datum en het uur wanneer het gehuurde goed moet worden teruggebracht. Er is een mogelijkheid om een fiche af te drukken.

Registr8 (Vsecurity): applicatie voor het registreren van bezoekers aan evenementen, beurzen en congressen. Er is een koppeling mogelijk met een bezoekersdatabank. Voor discotheken is er een koppeling aan een membership card mogelijk. Opmerking: de verkoop van tickets online gebeurt nog niet via de eID, dit is een functionaliteit die mogelijks in de toekomst zal worden geïmplementeerd.

Sun Solutions: applicatie voor de registratie in bemande en onbemande zonnebankcentra en toegang tot onbemande zonnebankcentra met de eID.

Webapplicaties Check eID (@rrowUp): online toepassing waarbij de eID-gegevens kunnen worden weergegeven en afgeprint, gebruik makend van het digIDs platform. De middleware moet niet afzonderlijk geïnstalleerd worden en is geïntegreerd in de oplossing.

Register eID (@rrowUp): online toepassing voor het registreren van de eID-gegevens op een website, gebaseerd op het BluePrint framework dat gebruik maakt van het digIDs platform. De middleware moet niet afzonderlijk geïnstalleerd worden en is geïntegreerd in de oplossing.

Mobiele toestellen Er zijn ook eID-applicaties die ingebouwd worden in hardware, bijvoorbeeld mobiele toestellen voor identificatie. Deze worden besproken in de bijlage.

118

Analyse van eID-applicaties voor identificatie

Stimulatoren Inhibitoren

Technisch - Moet niet geïntegreerd worden in andere systemen (kant-en-klaar).

- Geen technische voorkennis nodig om de applicatie te kunnen gebruiken.

- Beperkte functionaliteit die niet echt de mogelijkheden van eID illustreert, maar wel handig.

- Leest alle gegevens uit, ook al is er maar één gegeven nodig.

- Het inlezen van de kaart duurt soms te lang: als er veel mensen moeten geïdentificeerd worden kan dat vertraging opleveren.

- Installatie kaartlezer en middleware is vrij ingewikkeld en kan een drempel vormen - niet van toepassing voor applicaties die geen afzonderlijke installatie van de middleware vereisen.

Juridisch - Gebeurt voornamelijk face-to-face, quasi geen identiteitsfraude mogelijk.

- Voor het opslaan van gegevens, in het bijzonder het rijksregisternummer, is toestemming van de Privacycommissie nodig.

- Er is onduidelijkheid omtrent het verwerken van persoonsgegevens en de informatie die hierover verstrekt dient te worden en/of de toestemming die hiervoor moet gevraagd worden.

Economisch - Lage instapkosten en minimale opleiding. - Tijdsbesparing. - Toegang tot correcte gegevens verhoogt de

kwaliteit en de efficiëntie van de applicatie.

- Er moet altijd een alternatief zijn voor mensen die de kaart niet bij hebben, niet willen tonen, nog niet hebben of buitenlander zijn.

Psychologisch - Mensen moeten de moeite niet meer doen om hun gegevens te noteren, dit creëert een win-win situatie.

- Klantvriendelijk. - Als deze applicaties populair worden, en

veel handelaars of bedrijven de eID gebruiken voor het registreren van persoonsgegevens, dan kan dit als gevolg hebben dat er een gewenning optreedt.

- Geen controle door de eigenaar van de kaart over wat er met de gegevens gebeurt.

- Geen mogelijkheid om een pseudoniem op te geven – minder anoniem.

- Vandaag wordt de identiteitskaart vooral gebruikt in contact met officiële instanties of voor controle. Hierdoor kan weerstand ontstaan bij de burger: “Big Brother is watching you”.

Conclusies: eID-applicaties voor identificatie

De kant-en-klare eID-applicaties voor identificatie zijn tijdsbesparend, eenvoudig in gebruik, klantvriendelijk en goedkoop. Ze zijn ideaal geschikt voor het registreren van persoonsgegevens van klanten, bezoekers, hotelgasten, cursisten, enz.

Deze applicaties worden voornamelijk gebruikt in een face-to-face contact. Op die manier is er quasi geen mogelijkheid tot identiteitsfraude, omdat de persoon kan geïdentificeerd worden aan de hand van de foto op de kaart.

Er zijn enkele applicaties voor identificatie die via het web of aan een automaat worden aangeboden. Hier is dus een grotere kans op identiteitsfraude door de kaart van een andere persoon te gebruiken.

De inhibitoren situeren zich voornamelijk op het technische vlak, bijvoorbeeld door de benodigde installatie van een kaartlezer en middleware, al is de installatie van middleware voor sommige applicaties niet vereist.

119



eID-applicaties - authenticatie

Beschrijving

De eID-applicaties die gericht zijn op authenticatie worden aangewend in alle omstandigheden waar men zijn identiteit moet bewijzen. Het grootste deel van deze applicaties worden via het Internet of Intranet geactiveerd. Ze worden voornamelijk gebruikt om toegang te verlenen tot systemen, netwerken, informatie en diensten.

Voorbeelden

Bedrijven die dergelijke eID-applicaties op de markt brengen zijn o.a. RoadByte, Lithium ICT, Time Solutions, Imprivata, Vasco, Arena Solutions,...

Een greep uit de oplossingen die zij aanbieden:

Lokaal gebruik eID Password Lock (RoadByte): applicatie voor het beveiligd bewaren van paswoorden met behulp van de eID.

Online applicaties Snelbalie (Lithium ICT): digitaal loket, beveiliging website, identificatie van klanten om gepersonaliseerde informatie te geven en mogelijkheid tot online betalen via de eID. Vandaag zijn de belangrijkste klanten de lokale overheden.

Time Solutions: werknemers kunnen inloggen via de eID in het systeem om hun tijdsregistratiegegevens te raadplegen en hun verlofkaart in te vullen - het systeem wordt ook gebruikt voor het registreren van nieuwe werknemers.

OneSign (Imprivata): applicatie voor authenticatiebeheer met Single Sign-On en geïntegreerd fysisch/logisch toegangsbeheer. Dit laat de gebruiker toe om eenmalig in te loggen op het netwerk en toegang te krijgen tot alle applicaties. De gebruiker kan hiervoor zijn eID gebruiken en hoeft geen bijkomende wachtwoorden te onthouden. De oplossing is gebaseerd op een verregaande automatisatie van de password policy: voor elke aparte applicatie worden unieke, sterke wachtwoorden achter de schermen aangemaakt en eventuele paswoordveranderingen worden automatisch doorgevoerd.

e-banking (Keytrade Bank): inloggen gebeurt aan de hand van de eID, gebruik makend van een gewone kaartlezer en dit als vervanging van de vroegere toegangs- en bevestigingscode. Opmerking: voor een aantal transacties die een hogere beveiliging vereisen wordt bijkomend een Digipass gebruikt, deze werkt niet met de eID.

Mobiele toestellen Er zijn ook eID-applicaties die ingebouwd worden in hardware, bijvoorbeeld mobiele toestellen voor authenticatie. Deze worden besproken in de bijlage.

120

Analyse van eID-applicaties voor authenticatie


Technisch - Veilige toegang door gebruik van pincode. - De veiligheid wordt opgedreven door

bijkomende controle van de geldigheid van de certificaten.

- De applicaties voorzien in een veilige elektronische uitwisseling van gegevens (SSL: Secure Sockets Layer).

- Fedict stelt gratis de applicatie “Mijn dossier” beschikbaar, dit is een mooie illustratie en is bovendien voor de burger verhelderend.

- Installatie kaartlezer en middleware is te ingewikkeld en kan een drempel vormen. Keypad infrastructuur noodzakelijk voor het ingeven van de pincode.

- Bijkomende tijd nodig om de geldigheid van het certificaat te onderzoeken.

- Onbeveiligde PC’s met kaarten die in de kaartlezer blijven zitten of pincode die ingetypt wordt op een toetsenbord zouden aanleiding kunnen geven tot fraude (phishing en skimming).

- Certificaat wordt opgeslagen op de PC en kan uitgelezen worden door andere applicaties.

- De beveiligde omgeving kan aanleiding geven tot vreemde foutboodschappen waardoor de gebruiker afhaakt.

Juridisch - Meer rechtsbescherming voor de verkoper door het feit dat hij weet wie de tegenpartij is.

- Het rijksregisternummer en persoonlijke gegevens staan in het certificaat. Stricto sensu heeft men de toelating van de Privacy-commissie nodig om het certificaat op te slaan.

Economisch - De beveiligde omgeving laat toe om gevoelige informatie en diensten ter beschikking te stellen via het internet. Dit creëert enerzijds nieuwe business opportuniteiten en anderzijds kan door automatisatie belangrijke tijdswinst gegenereerd worden.

- Commerciële applicaties kunnen gebruik maken van het PKI-systeem van de overheid. De overheid draagt de operationele kosten voor dit systeem.

- In commerciële context verleent het gebruik van de bank- of kredietkaart voldoende functionaliteit. eID is vaak geen alternatief daar de solvabiliteit van de koper niet kan gecontroleerd worden via de eID.

- Bij het uitwerken van de veiligheid van een proces moeten alle schakels in beschouwing genomen worden. Het gebruik van eID bij slechts 1 schakel kan verkeerdelijk een veilig gevoel creëren. Zo blijkt dat, bij online veilingen, niet de solvabiliteit van de koper het zwakke punt is, maar de eerlijkheid van de transporteurs.

- Internet is internationaal, eID is typisch een nationaal initiatief en creëert dus grenzen. Bijkomende investeringen zijn noodzakelijk om dit te overbruggen.

Psychologisch - Meestal geeft het feit dat je weet dat iedereen zijn identiteit heeft prijsgegeven een zekere geruststelling. Voorbeeld: chatrooms voor kinderen.

- Virtuele omgeving: gevoel van onveiligheid stijgt omdat men niet echt ziet met wat men doet en met wie men iets doet.

- eID vermindert de anonimiteit, dus “Big-Brother-effect” stijgt omdat je je overal kenbaar moet maken. Mensen willen vaak anonimiteit op Internet.

121



Conclusies: eID-applicaties voor authenticatie Verhoging van de veiligheid is ten koste van de anonimiteit. Er wordt voor het gebruik goed afgewogen of de voordelen opwegen tegen kosten, verlies aan imago en aantrekkelijkheid. In sommige gevallen zal de overheid het gebruik van eID dienen te verplichten.

Omdat eID (nog) niet universeel is, zijn er parallelle systemen in gebruik – meestal geldig binnen een gesloten gemeenschap of een afgebakend domein. Bijvoorbeeld de bankkaart kan dezelfde waarborgen van veiligheid en betrouwbaarheid bieden. Bovendien laat een bankkaart de bank toe om aan “branding” te doen waardoor het voor de meeste banken nog steeds een aantrekkelijker authenticatiemiddel is dan de eID.

Het blijft moeilijk de gebruiker te overtuigen als er geen duidelijke win-win-situatie gecreëerd wordt

Het gebruik van de authenticatie-functionaliteit van de eID is ideaal voor het vervangen van meerdere gebruikersnamen en paswoorden – een universele single sign on.

Hoe breder het gebruik van eID, hoe belangrijker het effect van standaarden en de stabiliteit van de software.

eID-applicaties – elektronische handtekening

Beschrijving

Het koppelen van een elektronische handtekening aan een document verbindt de inhoud van het document onweerlegbaar met de identiteit van de ondertekenaar. Het ogenblik van de creatie van het ondertekend document en de geldigheid van het certificaat op dat ogenblik is belangrijk voor de bewijskracht van het ondertekend document.

Het plaatsen van een elektronische handtekening is een impliciete authenticatie. De Belgische eID voorziet in deze functionaliteit en bevat een afzonderlijk certificaat voor het plaatsen van de elektronische handtekening.

Voorbeelden

Bedrijven die eID-applicaties die gericht zijn op de elektronische handtekening op de markt brengen zijn o.a. Certipost, Ometa, Arcabase, the eID Company,...

Een greep uit de producten die zij aanbieden

MyCertipost (Certipost): deze online-brievenbus is een dienst die toelaat om vertrouwelijke informatie elektronisch te ontvangen, in te vullen en te versturen en voor elektronisch aangetekend schrijven, bijvoorbeeld: facturen en loonbrieven, administratieve formulieren van de overheid, enz.

Trust² (Certipost en Microsoft): applicatie voor het beveiligen van elektronische documenten en e-mails met de eID zodat de integriteit van de informatie kan gegarandeerd worden.

e-Signing (Certipost): applicatie voor het plaatsen van een wettelijk bindende handtekening op een elektronisch document en het verifiëren van de elektronische handtekening op een ontvangen document.

MS SharePoint eID (Ometa): applicatie voor het inlezen van gegevens van de eID in Sharepoint en het linken van documenten aan de gegevens van de eID. Deze applicatie biedt ook de mogelijkheid voor authenticatie en elektronische handtekening via Microsoft Office Forms (e-forms).

122

eID platform (Arcabase): authenticatie voor toegang tot websites en elektronisch ondertekenen van documenten en acties vanuit de webapplicatie.

eID Service Platform (the eID Company): eID service platform en software modules om procedures via Internet of Intranet te elektroniseren, gebruik makend van de eID. Er is mogelijkheid tot consultatie van persoonlijke dossiers (authenticatie), elektronische uitwisseling van documenten, elektronisch ondertekenen van formulieren en online uitvoeren van bestellingen en betalingen. Er is ook mogelijkheid tot verrijking van eID-gegevens met gegevens uit externe bronnen en/of bedrijfsdatabanken.

BluePrint (Agilesoft): eID compatibel web portaal framework dat toelaat om webgebaseerde oplossingen te ontwikkelen. Het framework ondersteunt identificatie, authenticatie en elektronische handtekening, en is compatibel met de eID. Het bevat webservices zodat externe webtoepassingen eID-compatibele functies snel kunnen integreren.

Analyse van eID-applicaties voor elektronische handtekening


Technisch - Volledig elektronische documentenstroom mogelijk.

- De elektronische handtekening legt de inhoud onweerlegbaar vast, geen komma kan veranderd worden.

- Zeer ingewikkelde materie. - Sommige applicaties vragen én een pincode

voor authenticatie én een pincode voor elektronische handtekening. Dit is voor de Belgen verwarrend want beide codes zijn gelijkgesteld, wij hebben maar één code.

- De procedure en de technologie voor het plaatsen van de elektronische timestamp met de eID is nog niet op punt gesteld.

- Het langdurig bijhouden van een document vraagt bijzondere investeringen.

- Er zijn nog heel wat praktische problemen voor het gebruik van de elektronische handtekening in een internationale context.

Juridisch - Minder mogelijkheid tot fraude, meer transparantie.

- Authentieke aktes kunnen wettelijk gezien nog niet elektronisch ondertekend worden.

- Geen volledige juridische ondersteuning cf. elektronische tijdsregistratie en archivering.

Economisch - Het beheren van elektronische documenten i.p.v. papieren documenten zorgt voor enorme plaatsbesparing in archieven.

- Mogelijkheid tot verdere automatisering van processen, dus snellere doorlooptijd van de processen.

- Betere toegang tot en beschikbaarheid van correcte informatie.

- Grote kostefficiëntie mogelijk. - Business opportuniteit voor het leveren van

diensten (trusted third parties).

- De eID is gekoppeld aan een individu, een persoon. Op dit ogenblik niet gekoppeld aan een mandaat, of een bedrijf.

123




Psychologisch - Verhoogde veiligheid dankzij koppeling inhoud aan handtekening.

- Het is geen visuele handtekening - Mensen kunnen zich niet voorstellen

waarvoor het kan gebruikt worden. - Onduidelijkheid over de termen

‘elektronische handtekening’ en ‘digitale handtekening’.

- Veel misverstanden rond het begrip elektronische handtekening. Velen hebben een gedigitaliseerde handtekening voor ogen.

Conclusies: eID-applicaties voor elektronische handtekening

Een elektronisch ondertekend document is wettelijk erkend, maar in de praktijk weinig gebruikt.

De elektronische handtekening is zeker van toepassing in de e-government omgeving, maar zelfs daar zien we vandaag nog weinig gebruik.

De elektronische handtekening biedt de mogelijkheid om de documentenstroom volledig elektronisch te laten verlopen wat enorme voordelen kan bieden inzake efficiëntie en betrouwbaarheid.

Er zijn echter nog een groot aantal hinderpalen die een goede implementatie van deze techniek in de weg staan.

o Omdat het een zeer complexe materie is begrijpen veel mensen het niet waardoor ze niet geneigd zijn om het te gebruiken.

o De juridische ondersteuning is nog niet volledig uitgewerkt: elektronische tijdsregistratie en archivering zijn in theorie mogelijk met de eID, maar het wetgevend kader staat nog niet op punt.

o De eID kan enkel ten persoonlijke titel worden gebruikt en niet namens een bedrijf, hiervoor is nood aan een mandateringsysteem.

Het gaat hier niet zozeer om het vervangen van een gewone door een elektronische handtekening. Een grondige “business proces reengineering” is nodig om de functionaliteit van de elektronische handtekening te integreren in de bedrijfsvoering. Dit zijn typisch langdurige trajecten met een belangrijke component veranderingsbeheer

124

7.2.2.2 eID geïntegreerd in softwarepakketten

Beschrijving

Bij deze categorie van applicaties is de eID-functionaliteit geïntegreerd in een softwarepakket waar het slechts een klein onderdeel uitmaakt van het gehele pakket .

Voorbeelden

Bedrijven die zulke applicaties op de markt brengen zijn o.a. Microsoft, Adobe, Apple, IBM, Invemaco, Ineo, Portima, Pronoia,...


Microsoft: in het Microsoft Office 2003-pakket is het gebruik van eID geïntegreerd. Men kan met de eID twee zaken doen:

o Documenten en e-mails elektronisch ondertekenen: het stramien daarvoor staat gedetailleerd beschreven op de website van Microsoft (http://www.microsoft.com/belux/nl/office/eid/word.aspx)

o Documenten beveiligen tegen ongewenst gebruik: met Microsoft Office 2003 Professional Edition en een abonnement op Trust² voor Microsoft Office kan men documenten beveiligen tegen ongewenst gebruik. Trust² is een service van Certipost die het gebruik van de elektronische identiteitskaart, als bewijs van de identiteit, ondersteunt. Documenten en e-mails kunnen voortaan verstuurd worden met de beperking dat enkel de geadresseerde het document kan openen, kopiëren, printen en/of verdelen. De verificatie van de identiteit van de geadresseerde kan via de eID kaart verlopen.

Adobe: heeft de elektronische handtekening geïntegreerd in zijn producten zodat een pdf-bestand elektronisch kan ondertekend worden, o.a. door de eID. De ontvanger van het ondertekende document heeft op die manier zekerheid over de oorsprong en de ondertekenaar van het document. Adobe heeft in België een "eID Competency Centre" geopend. Met dit centrum wil Adobe de ontwikkeling van online toepassingen voor de eID stimuleren.

Tivoli Access Manager for e-business (IBM): is een veelzijdige oplossing voor problemen met herkenning en autorisatie bij e-business. Dit gaat van een vrij eenvoudige Single Sign-on (SSO) tot een lijst geavanceerde webbeveiligingen. eID is een van de vele identificatiemethoden die door Tivoli Access Manager worden ondersteund.

Lotus Workplace Forms (IBM): Beveiligen van bedrijfsdocumenten met een elektronische handtekening via de eID. De formulieren kunnen bewaard worden in een content management systeem. Verschillende delen van het elektronisch document kunnen getekend worden door verschillende gebruikers. Het document kan ook attachments en desktop-applicaties bevatten. De open architectuur van Workplace Forms laat snelle integratie met verschillende processen toe.

Lotus Notes en Domino (IBM): Volgende functionaliteiten worden ondersteund: elektronisch ondertekenen van e-mails, vergrendelen en ontgrendelen van de PC via de eID, eenvoudige configuratie van webauthenticatie met de eID.

eID-interface in Efficy (Invemaco): eID-interface voor identificatie, authenticatie en elektronische handtekening in de webbased CRM-software Efficy (Customer Relationship Management).

eID interface in Mercator (Ineo): Mercator is een software-oplossing voor de integratie van boekhouding, commercieel beheer, verkooppunten en e-commerce. De eID wordt gebruikt voor het automatisch invullen van de klantenfiche – voor de getrouwheidskaartjes, de waarborgen, de mailing, de marketing, enz – en voor het inloggen in het systeem door de gebruikers.

http://www.microsoft.com/belux/nl/office/eid/word.aspx

125



eID interface in BRIO (Portima): BRIO is een programma voor het beheer van een verzekeringsmakelaar. De bediende van het kantoor kan zich authenticeren met de eID om toegang te krijgen tot het systeem. De gegevens van de klanten kunnen ook met de eID worden ingeladen in het systeem. Aangezien de verzekeringscontracten nog op papier worden ondertekend, wordt er nog geen gebruik gemaakt van de elektronische handtekening.

eID interface in AS/Web (Portima): Het aanloggen op dit portaal kan gebeuren met de eID. Ook hier wordt de eID niet gebruikt voor de elektronische handtekening.

Schoolonline (Pronoia): dit is een online softwarepakket ontwikkeld op maat van de school. De applicatie biedt verschillende modules aan zoals puntenboek & rapportering, attitude-rapportering, leerlingen- en kindvolgsysteem, stagebeheer, sanctiebeheer, enz. De leerkrachten en het personeel kunnen inloggen met hun eID.

Analyse van eID-interfaces geïntegreerd in softwarepakketten


Technisch - Minder technische voorkennis nodig: de eID-interface is geïntegreerd in het softwarepakket.

- Geen aparte eID-applicatie nodig - Afhankelijk van het softwarepakket zijn

meerdere functionaliteiten beschikbaar: identificatie en/of authenticatie en/of elektronische handtekening.

- Een aantal softwarepakketten zijn compatibel met meerdere smartcards.

- Leest alle gegevens uit, ook al is er maar één gegeven nodig.

- De complexiteit van authenticatie en de elektronische handtekening blijft een hinderpaal (ook als het ingebouwd zit in een softwarepakket).

Juridisch - Gezien de internationale scope van de pakketten, moeten deze applicaties voldoen aan de eisen van meerdere omgevingen. De applicatie moet dus compliant zijn aan de hoogste eisen. Soms leidt dit tot striktere eisen, soms leidt dit tot alternatieve oplossingen die beter geschikt zijn voor deze internationale omgeving.

- Opslaan van gegevens (rijksregisternummer): toestemming van Privacycommissie nodig

Economisch - Uitwisseling van gegevens is geautomatiseerd. Dit leidt tot:

o Tijdsbesparing o Verhoging van de kwaliteit van de

gegevens

- De eID is gekoppeld aan de persoon - op dit ogenblik niet gekoppeld aan een mandaat (functie binnen bedrijf).

Psychologisch - Gebruiksvriendelijk: de gebruiker hoeft niet over te stappen op een nieuw systeem, de eID-functionaliteit werd gewoon toegevoegd.

- Geen controle door de eigenaar van de kaart over wat er met de gegevens gebeurt.

126

Conclusies: eID-interfaces geïntegreerd in softwarepakketten De eID-interfaces die geïntegreerd zijn in softwarepakketten zijn gebruiksvriendelijker omdat de gebruiker geen extra software moet aankopen en er dus minder technische voorkennis is vereist.

De gebruiksvriendelijkheid is nog steeds gekoppeld aan de complexiteit van de materie. Toepassingen met een eID-interface voor identificatie worden ervaren als relatief gebruiksvriendelijk. Toepassingen met een eID-interface voor authenticatie en/of de elektronische handtekening worden ervaren als minder gebruiksvriendelijk.

Een aantal van de besproken softwarepakketten zijn totaalpakketten, bijvoorbeeld voor boekhouding, kantoorbeheer, CRM, enz. De persoonsgegevens die via de eID-interface worden geregistreerd kunnen dus gebruikt worden in andere domeinen. Hier is er echter nog een juridische onzekerheid over de mogelijkheden om de persoonsgegevens te gebruiken en te linken aan andere gegevens (cf. problematiek opslaan en gebruik van het rijksregisternummer).

7.2.3 Maatwerk

Beschrijving

Met maatwerk bedoelen we eID-applicaties die volledig op maat van de onderneming of organisatie worden ontwikkeld. Omwille van de opbouw van het document hebben we de maatwerk-applicaties onderverdeeld in drie categorieën:

Case studies: die in het volgende hoofdstuk behandeld worden

Specifieke applicaties voor bepaalde sectoren: we bespreken hier enkele voorbeelden uit de medische sector.

Overige op maat gemaakte applicaties: in tegenstelling tot de case studies werden voor deze applicaties geen grondige interviews uitgevoerd. De bedoeling van de opsomming is om de lezer aan te geven op welke manier men het gebruik van eID kan insluiten in de bedrijfsprocessen.

7.2.3.1 Specifieke applicaties in de medische sector

We bespreken hier twee voorbeelden van applicaties in de medische sector.

Digitaal aanmaken van patiëntenvoorschriften

Algemene beschrijving

D Soft is een Belgische onderneming gespecialiseerd in de ontwikkeling en implementatie van elektronische formulieren en documentbeheer. D Soft heeft een applicatie ontwikkeld voor het digitaal aanmaken van patiëntenvoorschriften in opdracht van Dibrosi. Dibrosi is een vzw die instaat voor het informaticabeheer inclusief de ontwikkeling en het onderhoud van een centrale applicatie voor drie psychiatrische instellingen.

Voor de geautomatiseerde registratie van administratieve en medische patiëntgegevens wordt gebruik gemaakt van een computertoepassing, het Dibrosi Informatie Systeem (DIS), ontwikkeld op basis van Oracle. Binnen deze toepassing worden ook de voorschriften aangemaakt. Door gebruik te maken van de eID-technologie is het niet meer nodig om de voorschriften af te drukken op papier om ze te ondertekenen. De bevoegde geneesheer identificeert zichzelf via zijn eID en ondertekent het voorschrift elektronisch. Dankzij deze eID-toepassing kan het voorschrift – met handtekening – geconsulteerd worden door de apotheek van het ziekenhuis via een webgebaseerde toepassing.

127



Alle geneesheren van de drie centra zijn in het bezit van een eID en een eID-lezer. Het elektronisch handtekenen van een voorschrift zorgt voor meer efficiëntie, maar bovendien garandeert het waterdichte authenticiteit. De zekerheid dat die welbepaalde geneesheer ondertekend heeft en dat het voorschrift niet meer gewijzigd kan worden, staat onomstotelijk vast, tenzij de geneesheer zijn kaart en bijhorende pincode niet aan zijn administratief personeel heeft gegeven. Elektronisch ondertekenen gekoppeld aan een eID zorgt voor verhoogde veiligheid en efficiëntie.

Technische beschrijving

Vanuit het “Dibrosi Informatie Systeem” (DIS) worden patiëntenvoorschriften digitaal aangemaakt In de achtergrond wordt dit voorschrift omgezet naar een PDF-document. Het elektronisch ondertekenen van dit PDF-bestand gebeurt op basis van de eID van de geneesheer, met behulp van een Java Applet in combinatie met een BlueRidge server. BlueRidge is een webservices platform ontwikkeld door D Soft dat o.a. gebruikt wordt voor de conversie, het ondertekenen, het archiveren en het versturen van documenten en formulieren. De uiteindelijke elektronische handtekening op het voorschrift kan, bijvoorbeeld door de apotheker, met een standaard Adobe Reader gevalideerd worden .

Geneesmiddelenstroom (met eID)

voorschrijven bereiden

afleveren

klaarzetten

toedienen

opvolgen

innemen

Elektronische kiosk met eID Om de wachttijden aan het onthaal in te korten, heeft het UZ Gent twee e-kassa’s in gebruik genomen. Het gaat om een proefproject dat het gebruik van de eID en elektronisch betalen combineert met verschillende andere ziekenhuistoepassingen. Met het project brengt de IT-afdeling van het UZ Gent een stukje e-healthcare in de praktijk. Dolmen zorgde voor de installatie van het geheel.

De e-Kassa steunt op de integratie van diverse toepassingen en het gebruik van verschillende kaarten. De patiënt meldt zich bij het toestel aan met zijn eID. Via het netwerk haalt het systeem in het elektronische patiëntendossier de basisinformatie van de patiënt op. Zodra de patiënt deze gegevens op het scherm bevestigt, krijgt hij te zien welke afspraak hij heeft en welk bedrag hij het UZ daarvoor verschuldigd is. Dan neemt het geïntegreerde Banksys-toestel het even over waarbij de patiënt met Bankcontact of Proton kan betalen. Tot slot zorgt de ingebouwde printer voor een ticket met alle identificatiegegevens van de patiënt, tijdstip en locatie van de consultatie. Dit levert een belangrijke tijdwinst op. Tegelijk realiseert het ziekenhuis dankzij de e-Kassa een hogere graad van efficiëntie

128

7.2.3.2 Overige op maat gemaakte applicaties Tijdens ons onderzoek zijn we in contact gekomen met gebruikers van zelfontwikkelde applicaties op basis van aangekochte componenten. Een aantal van deze applicaties zullen hieronder besproken worden (dit is slechts een greep uit het totale aanbod). De meeste applicaties ondersteunen enkel de functionaliteit van identificatie.

Universiteit Gent: registratie van studenten Binnen de Universiteit van Gent werd een interne applicatie ontwikkeld voor de registratie van studenten. Voor de ontwikkeling van deze eID-applicatie werd gebruik gemaakt van de middleware van de overheid. Enkel de functionaliteit van identificatie wordt ondersteund. De eID wordt gelezen en een formulier wordt automatisch ingevuld. Voor buitenlandse studenten en studenten die nog niet in het bezit zijn van een eID, is het is ook mogelijk om het formulier manueel in te vullen. De foto van de eID wordt gebruikt op de studentenkaart.

Er werd bewust gekozen om de eID niet te gebruiken als vervanging van de studentenkaart wegens het grote aandeel niet-Belgen in de studentenpopulatie. Om dezelfde reden wordt de eID niet als toegangsbadge gebruikt.

Mobiel: registratie van huurders Mobiel, een vzw die fietsen verhuurt uit Kortrijk, gebruikt een eID-applicatie voor het registreren van huurders, zowel aan privé-personen als aan studenten van de Universiteit (KULAK) en de hogescholen van Kortrijk. De eID wordt gelezen en een huurcontract wordt automatisch ingevuld. Het feit dat buitenlandse eID-kaarten niet kunnen ingelezen worden werd aangegeven als een beperking.

Cultuurcentrum: online bestellen van tickets en abonnementen en inschrijven cursus Het Cultuurcentrum Ter Dilft in Bornem gebruikt een eID-applicatie voor het online bestellen van tickets en abonnementen en het inschrijven voor cursussen. De applicatie werd ontwikkeld door Anaxis. In een pilootfase en om de applicatie te promoten, werd aan gebruikers een gratis kaartlezer aangeboden bij gebruik van de applicatie, die aan de receptie van het cultuurcentrum stond. De applicatie kan in de toekomst ook gebruikt worden voor het reserveren en verhuren van zalen.

Securex De sociale-dienstengroep Securex laat medewerkers via de eID inloggen en geeft partner-boekhouders zo toegang tot het CRM-systeem.

7.3 Suggesties voor toekomstige eID-toepassingen

De in dit hoofdstuk voorgestelde mogelijke toekomstige eID-applicaties zijn het resultaat van:

Applicaties in de concept- of ontwerpfase (via de bevraging van de producenten)

Voorstellen van ondernemers (uit de enquêtes en de workshops)

Ideeën van gebruikers van applicaties

Resultaten van een brainstormsessie binnen IBM

Mogelijkheden voor applicaties gevonden via diverse kanalen (o.a. Internet)

Een groot deel van de hieronder opgesomde applicaties zijn reeds beschikbaar of in ontwikkeling. De bevraagde personen zijn immers niet altijd op de hoogte van applicaties die in een ontwerpfase zitten of reeds op de markt zijn.

129



Bij het opsommen van mogelijke applicaties hebben de bevraagde personen geen abstractie gemaakt van de problemen rond privacy of de technische mogelijkheden van de kaart. Ook het verschil tussen de functionaliteiten identificatie en authenticatie werd niet gemaakt.

Als inderdaad alle gebruikers bereid zijn om hun eID te gebruiken voor de opgesomde applicaties dan bevat de lijst heel wat commerciële opportuniteiten.

Volgende suggesties werden genoteerd:

Toegangscontrole op openbare locaties en bij evenementen (feesten, festivals,…)

Toegangscontrole aan dancings

Controle in de horeca voor het verbruik van alcohol door jongeren onder de 16 jaar

Bij projecten rond het delen van auto’s kan men de kaart gebruiken als toegangssleutel

Applicatie voor in de auto om de adresgegevens te kunnen lezen bijvoorbeeld bij een ongeval of voor in een ambulance

Toegangscontrole bij films boven de 18 jaar

Identificatie in een ziekenhuis

De eID als vervanging van de klevertjes voor de mutualiteit

Integreren van medische gegevens op de eID (o.a. de bloedgroep): nuttig bijvoorbeeld voor een snelle interventie bij een ongeval

Applicatie voor identificatie op de website van de gemeente zodat de burger zelf een bewijs van adres kan afprinten

Een eID voor het bedrijf

Op de kaart plaatsen of men een wilsbeschikking heeft afgelegd als orgaandonor, dit kan handig zijn bij dodelijke ongevallen

Toegang via de eID of de kidsID tot een publieke telefoon zodat men gratis een noodnummer kan bellen

Online reservering van hotelkamers

eID als toegangssleutel voor een hotelkamer

Online verkoop van tickets voor evenementen

Online verkoop van abonnementen

Online bestellen bij warenhuis of apotheek

Integreren van meerdere functionaliteiten (eID, SIS-kaart, rijbewijs, bankkaart,...)

De eID als klantenkaart

De eID integreren in de GSM

Betaling autoweg vignet/tax

De eID als authenticatie voor de vervanging van de bewonerskaart (bewonersparking) of om parkeerpaaltjes naar beneden te laten

Het internationale paspoort integreren in de eID

130

7.4 Conclusies eID-toepassingen

Er zijn reeds een groot aantal eID-applicaties op de markt.

o De applicaties voor identificatie zijn het meest populair, vooral omdat ze eenvoudig te begrijpen zijn en gebruiksvriendelijk.

o Applicaties in het domein van authenticatie en de elektronische handtekening blijven voor de meeste mensen zeer moeilijk om te begrijpen omdat ze zich er geen concrete voorstelling van kunnen maken.

De applicaties zitten momenteel in de introductiefase. In de onderstaande figuur wordt de levenscyclus van applicaties beschreven en worden de kenmerken van de introductiefase beschreven.

• Hoge kosten

• Lage verkoopsvolumes

• Vraag moet gecreëerd worden

• Gebruikers moeten worden aangezet om het product te proberen

Zeer veel applicaties zijn klaar om te verkopen maar er is nog geen spontane vraag naar. De vraag wordt dus vooral gestuurd door de aanbodzijde (de producenten).

Geïnteresseerde ondernemers zijn “early adopters”, namelijk innovatieve ondernemers met een sterke interesse in ICT.

Om de modale ondernemer te bereiken zullen de producenten moeten rekening houden met hun wensen en bekommernissen. Uit de gesprekken met ondernemers blijkt dat zij vooral geïnteresseerd zijn in kant-en-klare gebruiksvriendelijke toepassingen waarvoor geen specifieke technische kennis vereist is.

De suggesties voor toekomstige eID-applicaties gaan in de zin van:

o Het verminderen van het aantal kaarten: meer informatie op de kaart en nieuwe functionaliteiten. Bijvoorbeeld betalen, integratie met SIS-kaart, rijbewijs en paspoort.

o Verhogen van het persoonlijk comfort: eID kaarlezer in de wagen, automatisch geneesmiddelen bestellen bij doktersbezoek, enz.

o Het verhogen van de persoonlijke veiligheid: toegang tot openbare telefooncel voor noodoproep, verkoop van alcohol en sigaretten, enz.

o Snel beschikbaar maken van informatie op kritische momenten: informatie over donoren, medische informatie bij ongeval, enz.

o De eID op een andere smartcard, bijvoorbeeld een GSM.

131



8 Case studies

In voorgaand hoofdstuk hebben we een niet-exhaustieve lijst gegeven van kant-en-klare eID-applicaties die verkrijgbaar zijn op de markt. Daarnaast zijn er ook ondernemingen of organisaties die een eigen applicatie hebben uitgewerkt. Het gaat hier om applicaties die volledig in de schoot van de eigen onderneming werden opgezet, na een analyse van de processen die eraan ten grondslag liggen. Deze applicaties worden behandeld als case studies. We willen nogmaals benadrukken dat het hier gaat om een niet-exhaustieve lijst van case studies. De eID-toepassingen zijn immers in volle ontwikkeling en er komen elke dag applicaties bij. Wij hebben ons beperkt tot de – naar onze mening – interessantste applicaties op dit moment.

Er zijn twee soorten case studies, deze die eID ondersteunen en deze die bewust geen gebruik maken van de eID .

Voorbeelden van case studies die eID gebruiken:

o Christelijke Mutualiteit: applicatie voor consultatie van eigen dossier via de eID

o Autodelen: theoretische studie voor online registreren en reserveren via de eID

o Ethias: applicatie voor consultatie van eigen verzekeringsportefeuille via de eID

o iDTV: ontwerp voor een mogelijke integratie van eID in interactieve televisie

o eBay: authenticatie van kopers en verkopers met de eID

o e-portemonnee: elektronisch spaar- en beloningssysteem met de eID

o Veilige chatruimtes: onderzoek naar veilig “chatten” met de eID

o Certipost: online brievenbus MyCertipost, e-Signing, Trust² en e-Access

Voorbeelden van applicaties die geen gebruik maken van de eID zijn:

o Isabel (bankwereld): gebruikt al sinds tientallen jaren een intern ontwikkelde, op een standaard gebaseerde, PKI-infrastructuur en bijhorende smartcards (Isabel-kaart). Het overschakelen op de eID is een zeer complexe technische uitdaging die voor hen onvoldoende voordelen biedt.

o Real (notarissen): een intern ontwikkeld systeem voor notarissen. De reden waarom zij geen gebruik hebben gemaakt van de eID is omdat een notaris niet ten persoonlijke titel documenten ondertekent maar wel vanuit de functie van notaris. Omdat deze mogelijkheid niet wordt geboden met de eID hebben zij hiervan geen gebruik gemaakt.

132

8.1 Case study Christelijke Mutualiteit

Omschrijving De Christelijke Mutualiteit heeft een online-service opgezet voor haar gebruikers (zowel de werknemers als de leden) voor het consulteren van het eigen dossier en gepersonaliseerde informatie. De applicatie is beschikbaar vanaf juni 2007, maar de brede roll-out start vanaf januari 2008.

Het aanmelden gebeurt met de eID of voorlopig ook nog met een token van de CM. Om gebruikers aan te moedigen om in te loggen met hun eID wordt een gratis eID-kaartlezer uitgedeeld aan iedereen die zich voorneemt om enkel nog online te communiceren met de CM.

In deze applicatie kan onder andere:

Informatie opgevraagd worden over de betaalde bijdragen, de uitkeringen, de terugbetaling van ziektekosten en het globaal medisch dossier.

Handelingen uitgevoerd worden, bijvoorbeeld het berekenen van uitgaven, het downloaden en afdrukken van attesten en aanvraagformulieren, het bestellen van publicaties, enz.

Algemene informatie geraadpleegd worden en intekenen op een e-mailservice.

Waarom wordt de eID gebruikt?

Binnenkort beschikt elke Belg over een eID, dit systeem wordt kosteloos ter beschikking gesteld door de overheid.

Ook de middleware wordt gratis ter beschikking gesteld door de overheid.

Meer en meer mensen beschikken over een computer, zowel op het werk als thuis. Het online consulteren van gegevens is de toekomst.

De kosten-baten analyse is positief. De leden krijgen een gratis eID-lezer als ze zich ertoe verbinden om alles online te doen. De kosten hiervoor wegen niet op tegen de baten, namelijk:

o besparing op personeel

o verbetering van de efficiëntie en de kwaliteit, minder kans op fouten, meer controle

o efficiëntere face-to-face communicatie en lagere verzendingskosten

De gratis uitgedeelde eID-kaartlezers kunnen ook gebruikt worden voor andere toepassingen, bijvoorbeeld tax-on-web, Mijn Dossier,… Hier is er dus duidelijk een win-win-situatie aanwezig.

De eID zal in de toekomst ook gebruikt worden voor interne applicaties, bijvoorbeeld om in te loggen op het netwerk, voor tijdsregistratie of voor telewerken.

Opmerking: er is ook gedacht om de SIS-kaart te gebruiken, maar op termijn wordt deze geïntegreerd met de eID.

133



8.2 Case study Autodelen

Omschrijving Autodelen is het systeem van het gezamenlijk gebruik maken van een auto, dat nu wordt aangeboden door firma’s zoals bijvoorbeeld Cambio. Er werd een theoretische studie uitgewerkt voor het online registreren en reserveren van de auto’s gebruik makend van de eID, door Alexander Goossens, een student aan de Katholieke Hogeschool Limburg. Dit is, naar onze mening, een goed voorbeeld van het gebruik van de eID en wordt daarom als case study opgenomen.

Het blijft voorlopig een theoretische studie, want na contacten met Cambio blijkt dat zij niet op de hoogte zijn van de mogelijkheden die de eID biedt in dit domein.

Mogelijkheden voor gebruik van de eID

Procedure bij registratie

Huidige werkwijze (zonder eID): Downloaden en invullen van een pdf-formulier, printen en versturen met de post, samen met een kopie van je identiteitskaart en je rijbewijs. In het bedrijf worden de gegevens handmatig verwerkt in het systeem. De registratie wordt bevestigd via een welkomsmail.

Werkwijze met eID: Online registreren met de eID. Er wordt een e-mail verstuurd ter bevestiging van de registratie. Deze mail moet elektronisch worden ondertekend en teruggestuurd. Na controle van de elektronische handtekening (via CRL of OCSP) wordt de registratie bevestigd via een welkomsmail.

Knelpunt hier is wel dat het rijbewijs niet op de eID staat, en dat deze gegevens dus niet kunnen doorgegeven worden via de kaart. Een mogelijke oplossing is dat het bedrijf een mededeling uit het Rijksregister zou krijgen. Op deze manier kan de status van het rijbewijs nagegaan worden.

Een andere oplossing is dat de aanvrager zelf inlogt op ‘mijn dossier’. Zo kan hij zelf een uittreksel downloaden van zijn rijbewijs en dit overmaken. De vraag is echter of dit uittreksel een geldig bewijs is. Het zou eventueel wel gevalideerd kunnen worden met de extra persoonlijke gegevens die ook in het document opgenomen zijn.

Procedure bij adreswijziging

Ook bij een adreswijziging is de procedure gebruikmakend van de eID veel minder omslachtig dan de huidige procedure. Men gaat naar de bevolkingsdienst om de chip aan te passen en met de aangepaste kaart kan men inloggen in het systeem en de adreswijziging registreren. Er is geen briefwisseling via de post en handmatige verwerking meer nodig.

Toegang tot de auto’s

Het is theoretisch mogelijk om de technologie om de auto te openen te koppelen aan de eID. In de plaats van een chipkaart met pincode, gebruikt men dan de eID met pincode.

Voordelen en nadelen bij het gebruik van de eID

Voordelen

Zekerheid en juistheid van de ontvangen gegevens

Snelheid en kostenbesparing: geen of zeer beperkte tussenkomst van de fysieke persoon

Meer zekerheid over wie met de geleende auto rijdt

Minder investeringen in een eigen systeem met speciale chipkaarten en pincodes

134

De kosten voor ontwikkeling dalen. Het ontwikkelen van een registratie met eID is eenvoudiger en sneller dan het ontwikkelen van een gewone online registratie. Dit vooral door de ver doorgedreven validatie die bij de gewone online registratie een absolute must is. Bij de eID-registratie is men van bij het begin al zekerder welke gegevens er zullen opgehaald worden en er is minder kans tot foutieve invoer

Men kan onmiddellijk na registratie toegang krijgen tot een auto. Dit is een grote tijdswinst aangezien er geen formulieren per post moeten verstuurd worden.

Nadelen

Er moet steeds een alternatief systeem voorzien worden, omdat nog niet iedereen de eID heeft.

Het vertrouwen van de gebruiker moet nog gewonnen worden.

8.3 Case study Ethias

Omschrijving Ethias

Als directe verzekeraar heeft Ethias steeds een groot belang gehecht aan de directe relatie met haar aangeslotenen. Vanuit deze optiek werd er reeds vroeg gekozen voor het Internet als communicatiemiddel.

Dit leidde tot de creatie van drie interactieve sites – elk met hun eigen doelgroep – die toegankelijk zijn vanuit de ethias-website (www.ethias.be). Het is in het kader van het gebruiksvriendelijk maken van deze interactieve toepassingen dat men is overgegaan tot het verkennen van de mogelijkheden van de elektronische identiteitskaart.

Online verrichtingen Ethias

De online verrichtingen op de portaalsite van Ethias kunnen worden onderverdeeld in drie groepen:

My Ethias Verzekering (particulieren)

Web Banking (particulieren)

Extranet (B2B)

Het gebruik van eID bij MyEthias

My Ethias is de online-verzekeringsportefeuille van Ethias die in 2002 opgestart werd (onder de toenmalige naam My Omob). Op deze portaalsite kunnen klanten o.a. de volgende verrichtingen uitvoeren:

Raadpleging verzekeringscontracten (verzekeringsportefeuille)

Aanvraag van een nieuw contract of een wijziging van een bestaand contract

Aangifte en opvolging van schadegevallen (woning, auto,...)

Consultatie van de stand van de FIRST Rekening (gestorte sommen, intresten,...)

My Ethias is een in hoge mate beveiligde en volledig kosteloze dienstverlening, die toelaat aan klanten om hun verzekeringen online te beheren. Op dit moment zijn 140.000 Ethias-klanten geabonneerd op deze portaalsite.

Er loopt momenteel een pilootproject waarbij klanten op My Ethias kunnen inloggen met hun eID, i.p.v. met een gebruikersnaam en paswoord. Deze personen kregen voor dit pilootproject een gratis kaartlezer van Ethias. Na afloop van deze pilootfase zal het project worden uitgebreid naar alle

http://www.ethias.be

135



140.000 klanten van Ethias. Het project loopt in samenwerking met NRB (Network Research Belgium), het informaticafiliaal van Ethias.

Het pilootproject betreft enkel de online verzekeringen, niet de online banking, en enkel voor particulieren (niet voor de B2B-verrichtingen op het Extranet) om volgende redenen:

Online banking is een domein dat een veel grotere beveiliging vereist. De meeste banken gebruiken eigen systemen voor beveiliging van de toegang tot online banking, o.a. de Digipass, al dan niet in combinatie met de bankkaart. Het betreft hier interne systemen, specifiek op maat van de bank ontwikkeld. Het gebruik van de eID is in dit domein (nog) niet aan de orde.

B2B is een domein waar het gebruik van eID vandaag weinig toegevoegde waarde biedt omdat de eID persoonlijk is en dus niet gekoppeld aan mandaat noch bedrijf.

Gebruik van het rijksregisternummer

In toepassing van de privacywetgeving mag het rijksregisternummer van natuurlijke personen niet in een databank geplaatst worden door Ethias. Deze wettelijke beperking heeft als gevolg dat er een “work around” diende gevonden te worden om de verzekerde op basis van zijn eID te kunnen identificeren.

Het rijksregisternummer wordt gelinkt aan een identificatienummer dat intern binnen het bedrijf wordt gebruikt, via een hash, op zo’n manier dat je vanuit het intern identificatienummer op geen enkele manier het rijksregisternummer kan terugvinden. Dit gebeurt elke keer als men inlogt. Het systeem ziet het rijksregisternummer, koppelt het aan het intern identificatienummer en dan wordt verder gewerkt in de applicatie met het intern identificatienummer.

Waarom werd gekozen voor de eID? De eID is de methode bij uitstek om te gebruiken voor een veilige authenticatie, zowel op Internet als voor toegang tot applicaties en gebouwen. Voor Ethias is het een logische stap naar een meer gebruiksvriendelijke omgeving voor haar klanten. Ze wil hiermee ingaan tegen het grote aantal verschillende systemen van badges en paswoorden waarmee men tegenwoordig als consument geconfronteerd wordt .

Ethias wil, bij positief resultaat van het pilootproject, in de toekomst nog meer gebruik maken van de mogelijkheden die de eID biedt. Zij denkt o.a. aan de toegang tot gebouwen en applicaties, een elektronisch loket, het online afsluiten van contracten en als eerste authenticatie voor bankzaken. Daarnaast kan het gebruik van de eID een belangrijke rol spelen in de strijd tegen witwaspraktijken.

Hinderpalen bij het gebruik van de eID Het is heel moeilijk om gedetailleerde technische informatie te verkrijgen over de eID, bijvoorbeeld de broncode.

Er zijn al een paar keer versiewijzigingen geweest van de middleware van de overheid waardoor de applicatie telkens opnieuw diende aangepast te worden.

Fedict promoot nog steeds het gebruik van de eID maar er kan pas van een echte veralgemening van het gebruik sprake zijn wanneer er een aantal obstakels inzake privacywetgeving kunnen aangepast of versoepeld worden.

Reacties van gebruikers Er zijn voornamelijk positieve reacties over het gebruik van de eID in het pilootproject. Ze bevestigen de ingeslagen richting van vereenvoudiging en gebruiksvriendelijkheid.

136

8.4 Case study iDTV

Omschrijving iDTV staat voor interactieve digitale televisie. Deze nieuwe technologie maakt het mogelijk om via het vertrouwde Tv-toestel een groot aantal interactieve en digitale diensten aan te bieden. Voorbeelden van diensten zijn T-commerce (aankopen van producten en diensten via iDTV) en T-government (informatie van de overheid, bijvoorbeeld van de Vlaamse Infolijn, de jobaanbiedingen van de VDAB, gemeentelijke informatie, enz via iDTV) maar ook e-mail, sms of spelletjes zijn reeds bestaande toepassingen.

Er zijn mogelijkheden om de eID aan te wenden in een interactieve digitale televisieomgeving als een middel voor authenticatie en elektronische handtekening. In dit domein wordt onderzoek uitgevoerd door het WiCa (Wireless and Cable), een onderdeel van de INTEC-vakgroep (Department of Information Technology) van de Universiteit van Gent.

Dit onderzoek betreft de ontwikkeling van eID-applicaties op het Multimedia Home Platform. Het Multimedia Home Platform is in Europa gekozen als standaard middleware voor digitale televisie. In België wordt het door Telenet gebruikt, Belgacom gebruikt daarentegen het MYRIO platform.

Het Multimedia Home Platform bundelt eigenlijk een aantal API's (Application Programming Interfaces) die het mogelijk maken om interactieve applicaties, ook wel xlets genoemd, te ontwikkelen die gebruikt kunnen worden voor interactieve digitale televisie.

Opzet van het onderzoek Een eerste fase van het onderzoek is een theoretische studie: “Integratie van de eID op het MHP platform”. In een tweede fase worden een aantal scenario’s uitgewerkt voor een mogelijke integratie van de eID in de iDTV. Voorbeelden van toepassingen zijn:

Advertising, waarbij de identiteits- en adresgegevens van de eID doorgegeven worden, bijvoorbeeld voor een aankoop, voor een gratis staaltje, voor het ontvangen van informatie van een product of om deel te nemen aan een wedstrijd.

Authenticatie voor bepaalde diensten.

Elektronisch ondertekenen van e-mails.

Genereren van profielen van de kijker.

…

Er zal ook aandacht besteed worden aan de beveiligingsmechanismen van de elektronische identiteitskaart en de beveiligingsmogelijkheden van het MHP platform.

Opmerking over de doelgroep Computerleken zijn een doelgroep die men wél via de digitale televisie kan bereiken. Op deze manier kan deze groep van mensen toch gebruik maken van de nieuwe communicatiekanalen en de mogelijkheden die deze bieden .

Voordelen van het gebruik van de eID Het gebruik van de eID heeft de volgende voordelen:

Gebruiksgemak: de identiteits- en adresgegevens hoeven niet meer te worden doorgegeven via sms, bijvoorbeeld voor een aankoop, voor een gratis staaltje, voor het ontvangen van informatie van een product of om mee te doen aan een wedstrijd.

De identiteits- en adresgegevens zijn steeds correct.

137



Beperkingen van het gebruik van de eID

Economische inhibitoren

Voor de aanbieders van digitale televisie, Telenet en Belgacom, is de business case voor de integratie van de eID niet overtuigend, de toegevoegde waarde is niet duidelijk.

Technische inhibitoren

Momenteel kan enkel de Digicorder de eID ondersteunen (dit is een Digibox met geïntegreerde videorecorder) en niet de gewone Digibox.

Er bestaat nog geen aangepaste softwarebibliotheek voor ontwikkelaars die een eenvoudige integratie van de eID in iDTV-applicaties toelaat. Dit in tegenstelling tot de PC-omgeving waar er wel componenten voorhanden zijn. De ontwikkeling van zo een bibliotheek vergt kennis van de interne werking van de eID.

Psychologische inhibitoren

De vraag is of mensen bereid zijn om hun eID te gebruiken in combinatie met de iDTV.

Gaan mensen zich verplaatsen van hun zetel naar de TV om hun eID in de kaartlezer te steken? Misschien is het opportuun om te denken aan de ontwikkeling van draadloze alternatieven.

Vertrouwen mensen het wel vanuit privacy-overwegingen en eventueel misbruik van de data?

Juridische inhibitoren

Het is niet duidelijk of er sprake is van een inbreuk op de privacy. Nader onderzoek is noodzakelijk.

8.5 Case study eBay

Omschrijving eBay is een wereldwijde online marktplaats waarop kopers en verkopers elkaar ontmoeten met als doel het verhandelen van producten en diensten. Het is de bekendste veilingsite met ongeveer 200 miljoen leden wereldwijd. Omdat men op eBay anoniem is, kunnen er veel fraudesituaties ontstaan:

Betaalde goederen komen niet bij de koper terecht: bij het merendeel van de fraudegevallen gaat het om betaalde goederen die niet bij de koper terechtkomen. De oorzaak ligt hier echter vaker bij de post- of koerierdiensten dan bij de verkoper zelf.

Malafide oorsprong van goederen: de anonimiteit van het hele verkoopproces brengt met zich mee dat de oorsprong van de producten moeilijker opspoorbaar is. Veilingsites kunnen een ideaal verkoopsmedium vormen om bijvoorbeeld gestolen goederen opnieuw aan de man te brengen of om onbestaande goederen te verkopen.

Onwettelijke producten worden aangeboden: ook de aard van de producten die aangeboden worden, kan problemen opleveren. In de VS, de bakermat van de elektronische handel, is het al gebeurd dat organen via veilingsites worden aangeboden. Ook kan het gebeuren dat verkopers online namaak goederen proberen te verkopen.

Handelaars ontlopen belastingen: omdat er geen identificatie verplicht is zijn er handelaars die zich voordoen als particulieren om de regelgeving te omzeilen en zo belastingen te ontduiken.

eBay werkt voortdurend aan het verbeteren en aanpassen van haar beveiligingssystemen en zorgt ervoor dat die up-to-date blijven. Totnogtoe werd de identiteit van de gebruiker gecontroleerd aan de

138

hand van de kredietkaart, vast telefoonnummer of adres. Daarnaast wordt fraude beperkt door het uitgebreide feedback- en ratingssysteem.

Mogelijke oplossingen om de veiligheid te verhogen

Veilig betalingssysteem PayPal

eBay raadt haar gebruikers aan gebruik te maken van veilige online betalingssystemen zoals PayPal. In dit systeem geeft de koper enkel zijn e-mailadres door aan de verkoper om de betaling te regelen. Er worden geen financiële gegevens uitgewisseld. Als de verkoper zijn verplichtingen niet nakomt, en de betaling door de koper kan worden bewezen, dan kan een gedeelte van de aankoopsom worden gerecupereerd.

Daarnaast biedt eBay zelf ook een standaard kopersbescherming als specifieke voorgeschreven processen werden gevolgd.

Inschakelen van een trusted third party

Men kan een derde vertrouwenspersoon inschakelen die de betaling pas vrijgeeft wanneer de correcte afhandeling van de transactie is gewaarborgd. Hiernaar is onderzoek verricht door de FOD Economie i.s.m. de universiteit van Namen. Deze techniek kan een aantal frauduleuze praktijken verhinderen. Er dient nog onderzocht te worden op welke manier de eID in dit proces kan ingeschakeld worden.

Gebruik maken van de eID

Wanneer een gebruiker zich aanmeldt en zijn eID wordt geverifieerd, kan er gemakkelijk nagegaan worden of hij degene is die hij beweert te zijn.

Procedure voor gebruik van de eID Sinds kort heeft eBay een procedure voor verificatie met de eID. Als de gebruiker een elektronische identiteitskaart en een kaartlezer heeft, kan de gebruiker zijn eID door eBay laten verifiëren. Wanneer deze eID geverifieerd is, kan de gebruiker zowel nationaal als internationaal op eBay verkopen zonder extra identiteitscontroles. Het pictogram “eID geverifieerd” is zichtbaar voor kopers in het feedbackprofiel en in de aanbiedingen in de zoekresultaten, zodat zij weten dat ze in vertrouwen op de objecten kunnen bieden of deze kunnen kopen.

Zo laat de gebruiker zijn eID verifiëren:

1. Op de pagina “eID verificatie” wordt de naam en voornaam weergegeven. Deze moeten overeenstemmen met de gegevens op de eID. De gebruiker kan deze wijzigen indien er fouten in staan. Nadat de gebruiker alle gegevens heeft gecontroleerd, klikt hij op ‘Doorgaan’.

2. De gebruiker selecteert nu het certificaat en klikt op ‘Doorgaan’. Mogelijk wordt hem gevraagd zijn identiteitskaart opnieuw in de kaartlezer te steken.

3. De gebruiker voert de pincode van zijn eID in.

4. eBay controleert nu het certificaat bij Certipost. Vervolgens wordt in een bericht bevestigd dat de verificatie is voltooid. Als echter wordt gemeld dat de verificatie niet is voltooid, wordt de gebruiker gevraagd alle gegevens te controleren en of hij de pincode juist heeft ingevoerd.

5. Bij het bericht waarin wordt bevestigd dat de verificatie is voltooid, vindt de gebruiker een link naar zijn feedbackprofiel. Hier wordt naast zijn feedbackscore het pictogram eID geverifieerd weergegeven.

139



Stimulatoren voor het gebruik van de eID

Elke Belg van 12 jaar of ouder heeft binnenkort een eID.

De gebruiker dient geen apart paswoord te hebben om op eBay in te loggen met zijn eID. Wel dient hij uiteraard de pincode van zijn eID te kennen.

Er is zekerheid over de identiteit van de verkoper.

Er zal een verhoogd vertrouwen zijn in het gebruik van de site.

Er is onmiddellijke verificatie mogelijk, geen wachttijden.


Economische inhibitoren

Niet alle leden van de doelgroep beschikken over een eID.

Niet iedereen wil investeren in een kaartlezer.

Psychologische inhibitoren

Een verplichting tot het gebruik van de eID kan een drempel zijn voor potentiële kopers en verkopers. Daarom wordt dit niet verplicht.

8.6 Case study e-portemonnee

Omschrijving Wat is de e-portemonnee?

De “e-portemonnee” is een elektronisch spaar- en beloningssysteem waarmee door duurzaam en milieuvriendelijk gedrag punten kunnen verdiend worden. Deze punten kunnen gebruikt worden als betaalmiddel om allerlei zaken te kopen. Alle puntentransacties gebeuren via de eID of de gemeentekaart, de bestaande kaart die gebruikt wordt als toegangskaart voor het recyclagepark en het afhalen van de gratis vuilniszakken.

De e-portemonnee wil dagdagelijks milieuvriendelijk gedrag in de kijker zetten en belonen. Bijvoorbeeld: gebruik maken van het openbaar vervoer, kopen van hervulbare verpakkingen, oude spullen naar de kringwinkel brengen, antireclamesticker op je brievenbus te kleven, enz. Door deze handelingen kan je bijvoorbeeld een zwembadticket of een spaarlamp verdienen.

De e-portemonnee is een initiatief van Bond Beter Leefmilieu en Limburg.net (dit is de samenvoeging van de Limburgse intercommunales voor afvalverwerking). Het is de opvolger van “Zet Milieu op de Kaart” en werd operationeel op 12 november 2007. Het wordt georganiseerd in de gemeenten Overpelt, Lommel, Zonhoven, Hechtel-Eksel en Diest.

Verdienlijst en verzilverlijst

Elke gemeente stelt een verdienlijst samen, met daarop alle acties waarmee punten te verdienen zijn. In die lijst vind je naast de actie ook nog hoeveel punten je ermee kan verdienen en wáár die punten op je kaart gezet worden, de zogenaamde “verdienplaats”. De verdienlijsten verschillen van gemeente tot gemeente.

Net als bij de verdienlijst stelt elke gemeente ook een verzilverlijst samen met alles wat met de punten kan gekocht worden. In deze lijst wordt per item ook aangegeven hoeveel punten het kost en waar je het kan kopen, de zogenaamde “verzilverplaats”. In een verzilverlijst kan bijvoorbeeld het volgende staan: “Ticket zwembad – 500 punten – balie zwembad”. Dit wil zeggen dat je voor 500 punten een toegangsticket voor het zwembad kan kopen aan de balie van het zwembad. Je betaalt

140

daar dus gewoon met punten i.p.v. met euro’s. De verzilverlijsten verschillen ook van gemeente tot gemeente

Functionaliteiten van e-portemonnee

De e-portemonnee werkt net zoals bankcontact. Op de kaart zelf wordt niets geschreven. De kaart dient enkel om de eigenaar te identificeren. De punten worden in een centrale database in een persoonlijke elektronische portefeuille bijgehouden. Wanneer men ergens met punten betaalt, worden deze punten in mindering gebracht van het totale puntensaldo

De e-portemonnee is volledig in orde met de privacywetgeving. De eID dient enkel om de eigenaar van de kaart te identificeren en om puntentransacties te kunnen uitvoeren. De verkregen informatie wordt enkel en alleen gebruikt voor de werking van de e-portemonnee. De goedkeuring van de Privacycommissie werd verkregen en de garantie wordt geboden dat de gegevens in geen enkel geval gebruikt zullen worden voor commerciële doeleinden.

Technologiepartner Cegeka

Het puntenspaarsysteem werd ontwikkeld door Cegeka, de ICT-partner van Limburg.net. Zij hebben een applicatie ontwikkeld, met toegang via een webapplicatie, om gegevens te koppelen aan de gemeentekaart en de eID. Alle deelnemende instellingen (gemeenteambtenaren, kringwinkels, natuurvoedingswinkels, wereldwinkels, OVAM, containerparken, enz) hebben toegang tot deze webapplicatie.

Voorloper: “Zet Milieu op de Kaart” De actie “Zet Milieu op de kaart” is de voorloper van e-portemonnee. Het is gestart als pilootproject in Overpelt in november 2005 en werd georganiseerd door de Bond Beter Leefmilieu, de gemeente Overpelt en voormalige Regionale Milieuzorg.

De actie is een groot succes geworden. In totaal hebben 985 gezinnen gebruik gemaakt van de milieuspaarkaart (cijfers van 12 december 2006). Dat is zowat 1 op 6 gezinnen. Ze hebben op 1 jaar tijd zo’n 350.000 punten bij elkaar gespaard. De punten werden vooral uitgegeven aan waardebonnen, zwembadtickets, tombolalotjes en spaarlampen.

Uit onderzoek blijkt dat zowel de consumenten als de handelaars tevreden zijn met het proefproject. Daarom heeft het gemeentebestuur van Overpelt beslist om het spaarsysteem verder te zetten in 2007.

Wegens het succes werd de actie in november 2007 uitgebreid naar 4 andere gemeenten van het werkingsgebied van de Afvalmaatschappij Limburg, afdeling Regionale Milieuzorg in het opvolgingsproject “e-portemonnee”.

Uitbreiding van e-portemonnee

Uitbreiding van e-portemonnee in Limburg

Het werkingsgebied van ex-Regionale Milieuzorg (nu gefuseerd met andere intercommunales tot Limburg.net) beslaat 17 gemeentes die allemaal beschikken over de gemeentekaart en dus op de applicatie die het puntenspaarsysteem mogelijk maakt. Men is momenteel bezig met de overschakeling van de gemeentekaart naar de eID.

Op termijn zullen dus alle 17 gemeenten uit dit gebied indien gewenst gebruik kunnen maken van e-portemonnee met behulp van de eID. Op nog langere termijn is het potentieel voor de actie e-portemonnee gans Limburg, gezien de fusie van alle Limburgse afvalmaatschappijen tot één maatschappij, Limburg.net.

141



Uitbreiding van e-portemonnee in gans België

Er is interesse van de Federale overheid om e-portemonnee op nationaal niveau te brengen. Hiervoor zijn echter nog geen concrete stappen ondernomen. Sowieso zal gewacht worden tot 2009 omdat pas dan de volledige uitreiking van de elektronische identiteitskaarten zal gebeurd zijn. Daarnaast moeten er ook op het vlak van hardware en software nog inspanningen gebeuren om het systeem klaar te maken voor alle Belgische gemeenten.

Gemeentekaart versus eID De gemeentekaarten zullen ook na 2009 niet volledig verdwijnen. Voor bepaalde doelgroepen blijven ze bestaan:

Zelfstandigen en KMO’s: kunnen gebruik maken van de recyclageparken in de gemeentes waar zij werkzaam zijn. Hiervoor gebruiken zij de gemeentekaart omdat deze op naam van het bedrijf kan worden gezet en er ook facturen kunnen worden uitgeschreven.

Niet-Belgen: de gemeentekaarten zullen voorlopig nog blijven bestaan voor de niet-Belgen omdat zij niet zullen beschikken over een eID4. In de toekomst kan de vreemdelingenkaart uiteraard ook deze rol opnemen, maar nu is hier nog geen duidelijkheid over. Vooral in de Limburgse grensgemeenten wonen veel Nederlanders die niet beschikken over een eID.

Nieuwe inwoners: ook voor nieuwe inwoners kan tijdelijk de gemeentekaart worden gebruikt, in de tussenperiode als de domiciliëring nog niet aangepast is op de eID.

Waarom werd gekozen voor de eID? Reeds bij de prille opstart van de eID heeft men gesprekken gevoerd met toenmalig Staatssecretaris Peter Vanvelthoven en zijn diensten. Dankzij deze contacten koos de intercommunale bewust voor de gemeentekaart op basis van dezelfde technologie als de toekomstige eID-kaart, om uiteindelijk op middellange termijn te kunnen overschakelen op de eID-kaart.

Voordelen van het gebruik van de eID Geen kosten voor de aanmaak van kaarten

Met de eID kunnen meerdere personen van een gezin tegelijk gebruik maken van het systeem. De gemeentekaarten waren voorzien per gezin, dus verschillende gezinsleden konden de kaart niet tegelijk gebruiken voor bijvoorbeeld het verzamelen of verzilveren van spaarpunten of voor de toegang tot de recyclageparken. Met de eID wordt deze flexibiliteit wel gegeven.

Directe boodschappen: De afvalintercommunale heeft de toelating gekregen van de Privacycommissie om de gegevens van de eID te gebruiken en deze te koppelen aan andere gegevens, gerelateerd aan de afvalverwerking. Deze databank kan in de toekomst gebruikt worden om de bevolking te sensibiliseren voor de afvalproblematiek en op die manier kosten te besparen. Een voorbeeld is thuiscomposteren. Een geadresseerde mailing naar 350.000 gezinnen, aan 50 cent per brief, loopt al gauw op tot 175.000 Euro. Via de databank kan opgezocht worden wie er groenafval brengt en dus kan de mailing enkel naar die doelgroep – zijnde mensen die groenafval hebben maar nog niet thuiscomposteren – gebeuren, waardoor kosten kunnen uitgespaard worden.

Positieve kosten-baten-analyse: de eID-kaart zelf kost niets aan de intercommunale. Enkel voor het downloaden van gewijzigde gegevens van het Rijksregister moet een prijs worden betaald. De opgebouwde databank dient enkel aangevuld te worden met gegevens over afvalverwerking.

4 Bijvoorbeeld : de Europese ambtenaren die in België residentiëren en hun nationale identiteitsdocumenten behouden.

142

Het puntensysteem is een goed voorbeeld van hoe je een positieve en stimulerende relatie kunt opbouwen met de burger. Het gaat hier wel om een niet-commerciële omgeving.


Technische belemmeringen

Het feit dat het een contactkaart is geeft de eID aan de kaartlezers van de recyclageparken veel problemen. Doordat deze kaartlezers buiten staan in weer en wind zijn er problemen met vocht waardoor de kaarten vaak niet gelezen kunnen worden. Geschikte en betaalbare kaartlezers vinden is hier het grote probleem.

Psychologische belemmeringen

Bezorgdheid over schending van privacy. Gewoon het feit dat het de elektronische identiteitskaart is die als toegangskaart gebruikt wordt, maakt dat mensen meer op hun hoede zijn. Het is dus belangrijk om voldoende duidelijk te maken dat er geen gevaar is voor een schending van de privacy door deel te nemen aan e-portemonnee.

8.7 Case study veilige chatruimtes met eID

Inleiding Het is duidelijk dat ouders wereldwijd bezorgd zijn om hun chattende kinderen. Het is immers niet ondenkbeeldig dat er zich op de chatruimtes voor kinderen volwassenen begeven die zich voordoen als kinderen om op die manier contact te leggen met de kinderen, niet alleen in de virtuele wereld, maar ook in de echte. Het is voor de ouders niet altijd gemakkelijk om hierachter te komen, temeer omdat malafide volwassenen met het kind afspreken om de afspraak geheim te houden.

De Belgische Federale Computer Crime Unit (FCCU) bevestigt dat de gevaren reëel zijn. In 2003 heeft de FCCU 39 dossiers, waarbij inbreuken werden vastgesteld met kinderen die in aanraking kwamen met een pedofiel via Internet, doorgegeven aan de Cel Mensenhandel van de Federale Politie. Dit is een hoog cijfer, temeer omdat er nog vele andere organisaties zijn waar meldingen kunnen gebeuren en het niet ondenkbaar is dat de meeste incidenten niet aangegeven worden.

Daarom besliste voormalig staatssecretaris van informatisering Peter Vanvelthoven om in de loop van 2006 veilig chatten met de eID mogelijk te maken. Hij deelde daarvoor ook kaartlezers uit aan alle kinderen die in 2005 twaalf jaar werden. Op 1 februari 2005 kondigde Bill Gates samen met de staatssecretaris aan dat Microsoft de Belgische eID zou integreren in het chatprogramma MSN Messenger. Microsoft beloofde ook te onderzoeken hoe de eID kan gebruikt worden voor zijn andere technologieën.

Chatruimtes van de overheid SaferChat is een initiatief van de overheid. De doelgroep zijn kinderen tussen 12 en 15 jaar. Om toegang te krijgen tot de speciale chatruimtes, moet de jongere zijn eID gebruiken.

Er zijn momenteel 4 beveiligde chatruimtes:

http://www.chat.be

http://www.skynet.be via www.kidcity.be

http://breedband.telenet.be

http://www.krey.net/saferchat/

De bedoeling van deze ruimtes is dat de leeftijd van de jongeren wordt nagegaan bij het aanloggen. Leeftijd is, net zoals de naam en het adres, een persoonlijk gegeven, dat niet zomaar door iedereen

http://www.chat.be

http://www.skynet.be

http://www.kidcity.be

http://breedband.telenet.be

http://www.krey.net/saferchat/

143



mag worden gebruikt en verwerkt. SaferChat heeft van de Privacycommissie een speciale toelating gekregen om via de eID de leeftijd te controleren aan de hand van het rijksregisternummer.

Aan de chatruimtes van SaferChat zijn enkele spelregels verbonden. Zo heeft de jongere steeds het recht om zijn persoonlijke gegevens in te kijken en deze te laten veranderen of te laten verwijderen uit de databank. Daarvoor moet hij een mail sturen naar de beheerder van de chatbox.

Ook tijdens het chatten is de jongere gebonden aan bepaalde regels. Zo mag hij geen beledigende of discriminerende taal gebruiken.

Mening van Child Focus Child Focus is een belangrijke partner van de overheid als het gaat om projecten over veiliger surfen op Internet voor kinderen en jongeren. Zo publiceerde het samen met Fedict een Suske en Wiske-strip met tips over veilig Internet. Het album heeft de naam ‘de sinistere site’ gekregen. Het is een 26 bladzijden tellend verhaal waarin een nieuwsgierige Wiske door te onvoorzichtig te zijn op het Internet in de problemen komt.

Over de zogenaamde veilige chatruimtes is Child Focus voorzichtig positief. Het is volgens hen een goed idee om de sites te beveiligen met de eID, maar het is niet genoeg. Zo is het concept niet 100% veilig, omdat volwassenen meestal de pincode van hun kinderen kennen en dus hun kaart kunnen gebruiken om zich voor te doen als een kind.

Ook zijn jongeren gevoelig aan trends. Als een bepaalde niet-beveiligde chatruimte zeer populair is, dan zullen zij zich liever daarop registreren dan te denken aan hun veiligheid. De populariteit van zo’n chatruimte kan ook snel afnemen: een veilige ruimte kan bijvoorbeeld 3 maanden lang enorm populair zijn, maar erna kan dit volledig stilvallen, omdat er iets nieuws op de markt is.

De chatruimtes van de overheid worden momenteel weinig gebruikt. Daarom vind Child Focus niet dat ze extra gepromoot moeten worden. Child Focus is van mening dat sensibilisatie van jongeren veel belangrijker is. Jongeren moeten in het algemeen beseffen dat het Internet gevaren bevat en dat ze moeten opletten.

SeniorenNet De veilige ruimtes worden niet alleen voor kinderen aangeboden. Zo heeft SeniorenNet, een website gericht op senioren, een systeem opgezet voor de beveiliging via de eID van een forum en een chatbox. Het is een gebruiksvriendelijke toepassing die de privacy en de anonimiteit op het internet volledig behoudt. Als men nog niet over een eID beschikt kan er ook gebruik gemaakt worden van de SIS-kaart.

Het hele systeem werkt op het principe dat iedereen zich heeft moeten laten controleren voor het binnentreden van het aparte beveiligde forum of de chatbox. Iedereen die vervolgens op het beveiligde onderdeel zit weet van elkaar dat ze gecontroleerd zijn. Iedereen blijft echter ten allen tijde anoniem ten opzichte van de andere personen. De mogelijkheid bestaat nog steeds om een schuilnaam te gebruiken.

De eID of SIS-kaart tonen op SeniorenNet is niet verplicht. SeniorenNet wil haar bezoekers niet dwingen hun kaart te gebruiken of een kaartlezer aan te schaffen. Het gebruik is uitsluitend op vrijwillige basis. Senioren die hun kaart niet willen gebruiken, kunnen gewoon blijven verder surfen op de andere fora en chatboxen van SeniorenNet. Het gaat dus om een supplementaire gratis dienst van SeniorenNet.

SeniorenNet leest enkele basisgegevens uit van de eID of SIS-kaart. Deze gegevens worden gecodeerd en over een beveiligde verbinding verstuurd. Het rijksregisternummer wordt niet uitgelezen maar wel gecodeerd via een éénwegsalgoritme, een hash, op zo’n manier dat je op geen enkele manier het rijksregisternummer kan terugvinden. SeniorenNet bezit dus op geen enkel moment het rijksregisternummer en slaat dit ook nooit op een server of database op. De ingelezen gegevens kunnen bovendien onmogelijk door iemand anders worden onderschept.

144

SeniorenNet gebruikt vervolgens deze gegevens om na te gaan of de gebruiker toelating heeft om binnen te mogen (controle van identiteit en leeftijd).

Het grote voordeel van het systeem is dat misbruik kan voorkomen worden omdat het met dit nieuwe systeem mogelijk is om mensen te weren. Vroeger was het mogelijk om met een ander e-mailadres, andere naam, andere computer,... terug binnen te geraken, nu niet meer. Bovendien werkt het systeem niet met gestolen, verloren of vervalste identiteitskaarten zodat deze worden geblokkeerd wanneer dit werd gemeld via de overheid.

SeniorenNet wil hiermee een voortrekkersrol spelen in de ontwikkeling van beveiligde websites.

8.8 Case study Certipost

Omschrijving Certipost werd opgericht in 2002 als een joint venture van Belgacom en De Post in het domein van beveiligde elektronische communicatie-uitwisseling. Ze levert oplossingen om elektronische facturen en documenten af te leveren aan de juiste persoon, organisatie of bedrijf.

In opdracht van de overheid verleent Certipost de certificaten voor de eID en voorziet ze in de validatiediensten die online de geldigheid van een eID-certificaat aangeeft, de zogenaamde OCSP (Online Certificate Status Protocol).

Daarnaast verkoopt Certipost certificaten voor bedrijven en personen waarbij niet de privé-identiteit maar de professionele identiteit wordt gecertificeerd. Certipost treedt hier op als certificatieautoriteit.

Certipost levert ook diensten om bedrijven te helpen zo efficiënt mogelijk certificaten te benutten, o.a. voor elektronische handtekeningen (e-Signing) maar ook om makkelijk eID-logon te integreren in eigen toepassingen of om de geldigheid van certificaten te valideren.

MyCertipost: toepassing voor aflevering van documenten voor particulieren

MyCertipost is een Internetdienst die toelaat facturen, loonbrieven en andere documenten via het Internet te ontvangen en te bewaren (online brievenbus en archief). Bijvoorbeeld facturen van telecombedrijven, watermaatschappij of andere leveranciers. Daarnaast kunnen bestanden voor onbeperkte tijd worden gearchiveerd (via myCertisafe).

MyCertipost biedt ook de mogelijkheid tot het versturen van elektronisch aangetekend schrijven. De myCertipost-gebruiker hoeft zich niet meer te verplaatsen naar een postkantoor. Bovendien levert deze elektronische aangetekende zending bewijzen over de integriteit van de inhoud en over de aanvaarding, de weigering of de niet-aflevering ervan.

De oplossing die momenteel wordt aangeboden is slechts “semi-automatisch”: de aangetekende zending wordt elektronisch verstuurd naar Certipost, deze wordt daar afgedrukt en per post bezorgd. De volledige digitalisering van aangetekende zendingen biedt Certipost voorlopig enkel op projectbasis aan.

Het aanmelden op myCertipost kan via de eID gebeuren. Ook voor het versturen van de aangetekende zendingen wordt de eID of het professionele certificaat van Certipost gebruikt om de zending elektronisch te ondertekenen.

e-Signing Met e-Signing is het mogelijk om een juridisch bindende handtekening te plaatsen op een elektronisch document. Gebruik makend van een code kan een handtekening worden geplaatst op om het even welk elektronisch bestand (tot 2MB) in om het even welk formaat. Zodra de handtekening geplaatst is, wordt een handtekeningarchief (.signed.ZIP bestand) aangemaakt met het oorspronkelijk bestand en de gekwalificeerde elektronische handtekening van dat bestand.

145



Zodra de elektronische handtekening wordt geplaatst, kan het handtekeningarchief via om het even welke gegevensdrager (bijv. e-mail, USB-stick) worden verstuurd naar de ontvanger. Certipost zorgt voor een standaard tekst om de bestemmeling te informeren over het handtekeningarchief en de betrouwbaarheid van de handtekening.

Bij ontvangst van een ondertekend document kan de informatie over dat handtekeningarchief teruggevonden worden in het bijgevoegde readme.pdf bestand. Dit bestand geeft meer uitleg over het handtekeningarchief en bevat een link naar de dienst Certipost e-Signing verificatie. Via de link kan het handtekeningbestand worden geverifieerd, met name of de handtekening evenwaardig is aan een handgeschreven handtekening. Certipost rekent voor Certipost e-Signing verificatie geen kosten aan. Het gekwalificeerd certificaat dat nodig is voor de elektronische handtekening kan een eID-certificaat zijn of een ander door Certipost gekwalificeerd certificaat.

Trust² Trust² (spreek uit: "Trust Square") is een initiatief van Certipost en Microsoft Belgium. Het is een informatie-uitwisselingsplatform voor gebruikers van Microsoft Office2003 Professional Edition dat zowel de privacy als de integriteit van de informatie waarborgt. De verzenders kunnen de manier controleren waarop de ontvangers toegang krijgen tot de verstuurde Microsoft Office files of mails en of ze deze kunnen doorsturen, kopiëren of printen.

Hierdoor wordt het mogelijk om enige controle uit te voeren op waardevolle, confidentiële of gevoelige documenten of mails. Met een Trust² eID-account kan de authenticatie gebeuren met de eID, zowel voor de verzender als voor de ontvanger.

e-Access e-Access is een online authenticatieplatform voor een beveiligde toegang tot websites. Het platform registreert de gebruikers, voorziet hen van één enkele account met bijhorende credentials en de nodige attributen van de gebruikers. De gebruiker die aanlogt aan de toepassing zal (transparant) worden geredirect naar het e-Access platform. Dit platform zal de gebruiker authenticeren en de identificatiegegevens en attributen in de background leveren aan de toepassing. Hierop kan de toepassing de rol van de gebruiker bepalen gebaseerd op de gebruikersattributen. De toepassing bepaalt de rechten van de gebruiker en de normale toegangscontrole van de toepassing zal ingeroepen worden om de toegang tot de gevraagde resources toe te staan of te weigeren.

De authenticatie met de eID op de website van eBay gebeurt via het e-Access platform van Certipost.

Argumenten om de eID wel of niet te gebruiken

Er is gekozen voor een integratie van de eID in de toepassingen die gericht zijn op particulieren (B2C) om volgende redenen:

Eenvoudige registratie van gebruikers.

Zekerheid omtrent de identiteit van de geregistreerde persoon.

Slechts 1 pincode te onthouden door gebruikers voor verschillende toepassingen.

Alle Belgische burgers zullen binnenkort over een eID beschikken.

Er is gekozen om geen integratie van de eID te voorzien in de toepassingen die gericht zijn op bedrijven (B2B) vanwege de onderstaande inhibitoren.

Geen aanwezigheid van professionele kenmerken zoals bedrijfsnaam of professionele hoedanigheid.

Geen aanwezigheid van e-mailadres op de eID.

146

8.9 Case study Isabel

Omschrijving In 1994 namen de 4 grootste Belgische banken het initiatief om een gemeenschappelijke elektronische snelweg te ontwikkelen om de samenwerking tussen banken en industrie te vereenvoudigen. Het initiatief en het bedrijf kregen de naam Isabel en hadden als doelstelling een geïntegreerd platform aan te bieden met een breed gamma aan financiële diensten die bovenal veilig waren.

Vandaag zijn meer dan 20 banken lid van de groep en zijn de diensten uitgebreid tot e-banking, e-invoice en mogelijkheden om documenten elektronisch te ondertekenen.

De Isabel-kaart geeft ook toegang toe e-government applicaties:

Aangifte van tewerkstelling (Dimona)

Kwartaalaangifte RSZ

Aangifte sociale risico’s

Rijksdienst voor pensioenen

Neerleggen van de jaarrekening bij de Nationale Bank

Elektronische BTW-aangifte

Jaarlijkse BTW-listing

Elektronische aangifte vennootschapbelastingen

Aangifte bedrijfsvoorheffing

NCTS – geautomatiseerde transit voor Douane en Accijnzen

Individuele fiches 281 en opgaven 325

Elektronische douane-aangiften

De oplossing van Isabel positioneert zich in het domein van e-business en integreert de gehele keten van financiële processen. De Isabel-oplossing is matuur en wordt erkend door alle boekhoudprogramma’s en ERP-pakketten op de Belgische markt: interfaces zijn beschikbaar en gegevensuitwisseling is volledig geautomatiseerd.

Met Zoomit richt Isabel zich tot de particulieren. Met Zoomit kan de particulier zijn facturen bekijken, beheren en betalen vanuit het programma voor internetbankieren van zijn bank. Zoomit geeft ook toegang tot loonbrieven en andere financiële documenten.

Is eID een alternatief voor de Isabel-oplossing? Isabel NV gebruikt al sinds tientallen jaren een intern ontwikkelde, op standaard gebaseerde, PKI-infrastructuur en bijhorende smart cards. Deze oplossing is “state of the art” en beantwoordt aan alle noden van de vele Isabel-klanten. Deze investering is ook volledig afgeschreven en kent enkel nog een marginale kost voor onderhoud en operaties. Het vervangen van de Isabel-kaart door de eID is vandaag geen optie.

De Isabel-oplossing heeft een aantal kenmerken die momenteel niet terug te vinden zijn bij de eID, of nog niet bewezen zijn. Voor Isabel zijn dit belangrijke kenmerken van een operationele oplossing:

Beschikbaarheid: niet iedere Belg beschikt reeds over de eID en niet-Belgen in België beschikken niet over een eID. De kaart is ook niet bruikbaar in het buitenland. Om alle klanten te blijven bedienen zou dus naast de eID een alternatieve oplossing moeten blijven bestaan. Dit

147



zou grote kosten veroorzaken voor een dubbele infrastructuur en dubbele processen. De eID als zuivere Belgische oplossing kan niet voldoen aan de noden van Isabel en haar klanten doorheen Europa.

Bruikbaarheid: de meeste burgers gebruiken hun eID niet. Ze beschikken niet over een kaartlezer, noch over de software en zijn de pincode vaak al vergeten.

Ondersteuning: er is geen technische ondersteuning beschikbaar voor de burger bijvoorbeeld bij het installeren van de middleware op de computer.

Vervanging: de procedure om een verloren/gestolen/defecte kaart te vervangen is te lang.

Aansprakelijkheid: Het juridisch kader waarbinnen de financiële sector opereert stelt bijzondere eisen aan de uitgever van een kaart. Het is niet duidelijk of de aansprakelijkheid van de uitgever van de eID volstaat.

Bescherming van het privé-leven: het is niet voor de hand liggend om de authenticatie- en juridisch bindende handtekeningfuncties ("non repudiation") van de Isabel-kaart te combineren met de eID. Het gaat over verschillende contexten, waar verschillende wettelijke eisen inzake de bescherming van persoonsgegevens gelden (o.m. finaliteit van de gegevensverwerking). De klant van Isabel heeft het recht om niet tegen zijn wil in koppeling van de overheidscontext en de financiële context de facto mogelijk te maken via een globale unieke identifier (het Rijksregisternummer of zijn kaartnummer). Dit beantwoordt aan de plicht tot het nemen van voldoende technische en organisatorische beveiligingsmaatregelen, zoals voorzien in de Privacywet. Daarnaast kan men zich de vraag stellen of, indien Isabel de eID als handtekeningmechanisme zou gebruiken, zij de facto niet (mee) verantwoordelijk kan gesteld worden indien bepaalde persoonsgegevens van de eID (zoals het Rijksregisternummer opgenomen in de certificaten) door een van haar eindgebruikers voor niet-wettelijke doeleinden zouden gebruikt worden, wanneer blijkt dat zij deze gegevensverwerking mede mogelijk heeft gemaakt.

Scheiding tussen werk en privé: De gebruikers vinden het goed dat ze een handtekeningkaart hebben die los staat van hun privé-leven maar wel gekoppeld is aan de rol die ze vervullen op hun werk, vergelijkbaar met de "ambtenarentoken" in de overheidscontext.

Performantie: De eID biedt niet de graad van robuustheid die vereist is voor het ondertekenen van grote hoeveelheden berichten.

Het vervangen van de Isabel-oplossing door een alternatief zou zeer grote kosten genereren op het vlak van:

Design, ontwikkelen en testen van de integratie van de nieuwe oplossing;

Uitschrijven van alle procedures en handleidingen;

Uitrollen van de integratie en aanpassen van onze architectuur;

Informeren en migreren van de bestaande gebruikers.

Dit met als resultaat een oplossing die in het beste geval enkel gelijkaardige kenmerken als de huidige Isabel-oplossing vertoont. Hoe kunnen deze kosten verantwoord worden bij de klanten en dit zonder toegevoegde waarde, ze krijgen immers een gelijkaardige oplossing in de plaats.

Zijn er plannen om de eID in te sluiten in de Isabel-oplossing? Isabel is niet van plan om het huidig systeem te vervangen door eID. Het gebrek aan maturiteit maakt het gebruik van de eID voor professioneel gebruik onmogelijk. Isabel ondersteunt volgende functionaliteiten voor eID:

De kaartlezer van Isabel kan gebruikt worden als kaartlezer voor eID. Dit draagt bij tot het uitbouwen van het gebruik van de eID.

148

De eID zou een rol kunnen spelen bij het verlenen van toegang tot persoonlijke gegevens die de levensduur van de klantenrelatie met Isabel overtreffen.

De eID en de authentieke bronnen van de overheid blijven instrumentaal in het kader van de authenticatie van fysieke personen in het Rijksregister en vertegenwoordigers van juridische personen in de Kruispuntbank Ondernemingen.

8.10 Case study REAL-kaart

E-notariaat Om de globale dienstverlening van het notariaat te automatiseren en te optimaliseren werd in september 2000 het "e-notariaat" gelanceerd. Met dit project staat de Koninklijke Federatie van het Belgisch Notariaat (KFBN) de notarissen en hun medewerkers bij in de dagelijkse dienstverlening aan hun cliënten. De KFBN communiceert sinds eind 2000 voornamelijk elektronisch met de notariskantoren. In een eerste fase gebeurde dit via e-mail, sinds mei 2001 langs een met paswoord beveiligd Extranet (e-notariaat).

Intussen zijn alle notariskantoren aangesloten op dit Extranet. Naast een dagelijks elektronisch notarieel journaal bevat het ook op maat van het notariaat gemaakte werkinstrumenten en berekenings- en opzoekingsprogramma’s en een elektronisch loket voor allerlei diensten die de KFBN aanbiedt aan haar leden, zoals ondermeer de elektronische handtekening (DocSign).

REAL-kaart De programmawet van 27 december 2004 creëerde de mogelijkheid tot elektronische uitgifte van documenten, waardoor het voor de notaris mogelijk werd om alle documenten die aan de overheid moeten worden overgemaakt, elektronisch te ondertekenen.

In de praktijk doet de notaris dit met een digitale authenticatie en handtekeningkaart (de REAL-kaart, genoemd naar François Réal, één van de grondleggers van het notariaat) met een gekwalificeerd certificaat. De Nationale Kamer van Notarissen, bevoegd voor de notariële deontologie, treedt op als registratieautoriteit (RA). Zij kan online verifiëren of de ondertekenaar op het ogenblik van het ondertekenen wel notaris is. Het is voor de notaris verboden zijn kaart uit te lenen aan derden (hiervoor werd de deontologie van het notariaat aangepast).

Naast het plaatsen van een elektronische handtekening, kan de REAL-kaart ook gebruikt worden als authenticatiemiddel voor de toegang tot bepaalde applicaties. Zo is het gebruik van de REAL-kaart sinds april 2007 verplicht voor het inloggen op het e-notariaat. Met de REAL-kaart kan ook toegang verkregen worden tot specifieke notariële software.

De REAL-kaart en het e-notariaatplatform werden ontwikkeld door Credoc Services, een dochteronderneming van het KFBN. Credoc Services werd opgericht in 2000 in navolging van de vzw Credoc (Centre de documentation du droit). Zij levert allerlei dienstverleningen voor vrije beroepen. Zij is o.a. uitgever en verdeler van boeken, organisator van congressen, dienstverlener op het gebied van informatica en ontwikkeling van software.

Vergelijking van de actoren betrokken bij de eID-kaart en de REAL-kaart Credoc Services neemt de rol op van “Card Personalizer & Initializer” (wat Zetes doet voor de eID), VeriSign treedt op als Root Certificatieautoriteit (Root CA) en Getronics Pinkroccade als CA (certificatieautoriteit).

In onderstaande tabel wordt een vergelijking gemaakt van de rollen in het certificatieproces bij de eID-kaart en bij de REAL-kaart.

149



Rol eID-kaart REAL-kaart

Card Personalizer & Initializer Zetes Credoc Services

Root CA (Certification Authority) Belgian Root CA VeriSign

CA (Certification Authority) Certipost Getronics Pinkroccade

RA (Registration Authority) Rijksregister Nationale Kamer van Notarissen

Functionaliteiten van het REAL-systeem

Certificatieproces

Het certificatieproces verloopt volledig conform de ETSI-TS 101456 norm, dit is de standaard die de vereisten van een certificatieautoriteit vastlegt. Het REAL-systeem is dus een volledig beveiligd systeem (met de nodige controles, interne en externe audits, enz). De REAL-kaart moet persoonlijk door de notaris worden afgehaald bij Credoc Services.

Elektronische handtekening

Met de REAL-kaart kan de notaris een elektronische handtekening (DocSign) plaatsen die volledig gelijkgesteld is aan de handgeschreven handtekening, conform de ETSI XAdes-XL norm. Dit betekent dat er timestamping voorzien is, referenties naar alle certificaten en revocatie-informatie en de zekerheid dat deze informatie ten allen tijden beschikbaar blijft.

CMS – Certificate Management System

Blue X is het softwareprogramma dat ontwikkeld werd voor Credoc Services voor het beheer van de REAL-kaart. Via dit systeem kan de notaris bijvoorbeeld ook kaarten aanvragen voor zijn medewerkers (de notaris treedt in dit geval dan op als registratieautoriteit). Op de REAL-kaart van de medewerkers staan ook gekwalificeerde certificaten maar een medewerker kan geen gekwalificeerde elektronische handtekening plaatsen (lees: niet als “hoedanigheid” van notaris), dat kan enkel de notaris. De medewerkers kunnen wel mails elektronisch ondertekenen, in de root van het certificaat staat de naam van de notaris waar ze bij werken.

De notaris kan zelf de gebruikersrechten van de medewerkers bepalen. Hij controleert op die manier voor zijn medewerkers de toegang tot notariële applicaties. Hij is verondersteld hun kaart te annuleren bij het stopzetten van de arbeidsovereenkomst.

Voordelen van het gebruik van een eigen systeem Het gebruik van een eigen systeem heeft de volgende voordelen in vergelijking met de eID:

De REAL-kaart geeft de mogelijkheid om een specificatie van de functie te verbinden met de kaart. De notaris tekent dus niet enkel in persoonlijke naam, maar in zijn hoedanigheid van notaris.

o Bij de eID is het niet mogelijk om extra informatie aan de kaart toe te voegen. De enige mogelijkheid om de persoonlijke gegevens van de eID te koppelen aan professionele gegevens is door te werken met een mandatendatabank.

Bij verlies of diefstal kan de kaart binnen de 24u worden vervangen.

o Bij verlies of diefstal van de eID heb je gedurende enkele dagen of weken geen kaart meer tot je beschikking. Bovendien moet een extra som worden betaald voor de vervanging ervan (voor vervanging op korte termijn lopen de kosten op tot enkele honderden euro’s).

150

8.11 Conclusies case studies

Er zijn zowel argumenten pro en contra het gebruik van de eID:

o Pro: De volledige ondersteuning (PKI-infrastructuur, middleware, etc.) wordt gratis ter beschikking gesteld door de overheid. Toegang tot authentieke bronnen geeft garantie op de juistheid van de gegevens, mits toelating van de Privacycommissie.

o Contra: De eID is gekoppeld aan de persoon en niet aan de functie. Er moet vaak nog een alternatief systeem worden voorzien, o.a. omdat nog niet iedereen reeds beschikt over de eID. Timestamping voor de eID is voorlopig nog niet mogelijk bij het plaatsen van een elektronische handtekening. De internationale context van de eID. is nog in een zeer prematuur stadium.

De case studies die eID ondersteunen bewijzen dat er wel degelijk interesse is voor het gebruik van de eID, en dat kosten-baten analyses dikwijls positief kunnen zijn. Als de win-win situatie duidelijk is, verdwijnen ook een aantal inhibitoren.

De meest succesvolle case studies zijn diegene die het volledige proces beschouwen en proberen te optimaliseren. Wanneer niet het ganse proces in overweging wordt genomen, komt men vaak tot theoretische modellen die in de praktijk niet werken (cf. chatrooms).

Een aantal case studies die eID ondersteunen zijn een verbetering van het vroegere systeem met gebruikersnaam of token en paswoord. Dit is een win-win situatie voor beide partijen: voor de gebruiker is het veiliger dan met een gebruikersnaam en makkelijker dan met een token (want slechts één kaart en één pincode) en voor de aanbieder vervalt het beheer van gebruikersnamen, tokens en paswoorden.

De case studies die eID ondersteunen, bevinden zich voornamelijk in het domein van B2C en e-commerce. De gesloten systemen, die geen eID gebruiken, bevinden zich voornamelijk in een B2B-omgeving en e-business. De onderzochte systemen die niet op eID gebaseerd zijn, betreffen gesloten omgevingen met eigen processen en regels, die aanvaard zijn in het desbetreffende milieu.

De meeste case studies die we onderzocht hebben, zijn vrij recent. Dit wijst erop dat applicaties rond eID nog volop in ontwikkeling zijn.

Uit de case studies blijkt dat de eID kan bijdragen tot een grotere veiligheid, maar dat dit vaak ten koste gaat van de anonimiteit. Hier dient steeds een afweging gemaakt te worden.

151



9 Wetenschappelijk onderzoek betreffende de eID

We hebben vastgesteld dat er heel wat wetenschappelijk onderzoek wordt verricht rond de elektronische identiteitskaart en de elektronische handtekening. Het onderzoek gebeurt in verschillende vormen. Zo worden er wetenschappelijke artikels gepubliceerd, vooral door juridische experts. Ook worden er door verschillende laatstejaarsstudenten thesissen geschreven. Het belangrijkste, meest uitgebreide en meest geavanceerde onderzoek gebeurt echter door de onderzoekscentra van de verschillende universiteiten. Daar doet men projecten die meestal multidisciplinair en grensoverschrijdend van aard zijn.

9.1 Onderzoek in universiteiten en onderzoekscentra

Katholieke Universiteit Leuven (KUL) De KUL beschikt in het domein van onderzoek rond de eID over drie onderzoeksgroepen:

ICRI (Interdisciplinair Centrum voor Recht en Informatica)

o Het ICRI doet projecten rond juridische aspecten van nieuwe ontwikkelingen in de context van ICT, zowel op Vlaams, Federaal (o.a. met Fedict) als Europees niveau. De BELPIC-nota is door hen opgesteld.

o Professor Jos Dumortier is de directeur van dit centrum. Hij heeft talrijke artikels gepubliceerd rond de juridische problemen die te maken hebben met de elektronische identiteitskaart.

ESAT – COSIC (Computer Security and Industrial Cryptography)

o Doet onderzoek naar cryptografieën om data te beveiligen tegen passieve en actieve fraude.

o Danny De Cock is lid van deze onderzoeksgroep. Hij is een belangrijk expert op het gebied van eID en heeft mee aan de wieg gestaan van de ontwikkeling ervan. Hij heeft ook een website die gewijd is aan eID (http://www.godot.be).

o Een van de projecten waar deze onderzoeksgroep op werkt is ‘Private Biometrics for eID cards’. Dit is een studie i.v.m. privacymechanismen voor eID-gerelateerde applicaties gebaseerd op biometrie. Men onderzoekt of het mogelijk is om bestaande applicaties aan te passen zodat de privacy van de burger kan gegarandeerd worden.

DISTRINET (Gedistribueerde Systemen en Computernetwerken)

o Is een onderdeel van het departement computerwetenschappen. Men doet onderzoek naar ‘open, distributed object support platforms’ voor geavanceerde applicaties. Werkt bij haar verschillende projecten nauw samen met de industrie.

o Is lid van het IBBT (Instituut voor Breedbandtechnologie)

o Professor Bart De Decker is lid van deze onderzoeksgroep

o Deze onderzoeksgroep werkt – samen met de Katholieke Hogeschool Sint-Lieven – mee aan het project eIDea (‘Ontwikkeling van veilige toepassingen met de elektronische identiteitskaart”). Dit project bestudeert de elektronische identiteitskaart als middel om nieuwe toegangstokens te verkrijgen of om gebruikers toch de mogelijkheid te geven zich te authenticeren indien andere tokens verloren gegaan zijn. Het wordt verderop in detail besproken.

http://www.godot.be

152

Deze drie onderzoeksgroepen werken samen met nog enkele partners aan het adapID-project (Advanced Applications for Electronic Identity Cards in Flanders). Het doel van dit project is een raamwerk op te stellen voor gevorderde toepassingen van de eID in Vlaanderen. Hierbij zullen applicaties ontwikkeld worden die de privacy van de gebruiker niet aantasten en die voldoende betrouwbaar zijn. Het raamwerk zal interoperabiliteit waarborgen door het publiceren van open en veilige interfaces, wat essentieel is voor verdere ontwikkeling en adoptie van deze technologie. Het adapID-project wordt verderop in detail besproken.

Universiteit Gent (UGent) Deze universiteit beschikt over één onderzoeksgroep die relevant is voor eID:

WiCa (Wireless and Cable).

o Deze groep is onderdeel van de INTEC-vakgroep (Department of Information Technology) die lid is van het IBBT.

o In de volgende domeinen voert WiCa basisonderzoek uit:

Diensten onderzoeken rond interactieve digitale televisie (iDTV)

De fysische eigenschappen karakteriseren van draadloze netwerken

De fysische eigenschappen karakteriseren van kabelnetwerken

Testoplossingen bestuderen en ontwikkelen voor standaarden van kabel- en draadloze netwerken

o WiCa werkt nauw samen met vele bedrijven in Vlaanderen, zoals Alcatel, Barco, Base, Belgacom, Framatome Connectors International, Mobistar, Philips, Proximus en Telenet.

o Luc Martens is lid van deze onderzoeksgroep.

In WiCa verricht men onderzoek naar de integratie van de eID in interactieve digitale televisie (iDTV), cf. het onderzoeksproject “Ontwikkeling van eID applicaties op het Multimedia Home Platform” (ir. Tom Deryckere, lic. Michiel Ide en ir. Toon Depessemier). Dit werd besproken in het hoofdstuk over de case studies.

Facultés Universitaires Notre-Dame De La Paix – Namur (FUNDP) Deze universiteit beschikt over één onderzoeksgroep die relevant is voor eID:

CRID (Centre de Recherches Informatique et Droit)

o Doet onderzoek naar de juridische aspecten rond nieuwe technologieën.

o Professor Poullet en professor Montero zijn lid van deze groep. Zij verrichten belangrijk onderzoek naar de elektronische handtekening en de privacy rond eID.

Centre of Excellence in information and Communication Technologies (CETIC) Het CETIC is in 2001 opgestart als spin-off van de UCL, FUNDP en FPMs (Faculté Polytechnique de Mons). Het is een onafhankelijke onderzoeksinstelling, ondersteund door het Waals Gewest, die de brug maakt tussen de universiteiten en de bedrijfswereld. Het houdt zich vooral bezig met onderzoek in verband met elektronische systemen en softwaretoepassingen.

CETIC doet ook onderzoek in verband met eID. Tot nu toe ontwikkelden zij een veilige chatruimte, met aanlog via de eID, waarin iedere bezoeker de ware identiteit van de andere bezoekers kon nagaan (zie onderstaande figuur: je ziet de foto, de naam, het geslacht en de leeftijd van de bezoeker).

153



Het was niet de bedoeling om deze chatruimte te commercialiseren, en ze zal dus ook nooit online komen. De trigger voor de creatie van de chatruimte was een onderzoek van Agoria dat uitwees dat de eID weinig gebruikt wordt door het ontbreken van concrete toepassingsmogelijkheden. De stagiair, die deze chatruimte ontwikkelde, gebruikte deze applicatie als case om obstakels te identificeren die het ontwikkelen van concrete toepassingen afremmen. Op basis van deze ervaring werd een lijst met FAQ opgesteld (voor meer info, zie: http://www.cetic.be/internal553.html).

9.2 Onderzoek in Hogescholen

Katholieke Hogeschool Sint-Lieven – Gent (KaHo Sint-Lieven)

Werkt mee aan het eIDea project

Bepaalde onderdelen van het eIDea project worden verder uitgewerkt in de thesissen van laatstejaarsstudenten:

o ‘Biometrische toegangscontrole in schoolgebouwen’ (Jannes Verstichel). In deze thesis wordt een toepassing ontwikkeld waarbij studenten en onderwijzend personeel beperkt toegang verkrijgen tot bepaalde plaatsen in een schoolgebouw. Toegang tot bepaalde ruimtes (zoals labos, werkruimtes) gebeurt d.m.v. biometrische authenticatie (fingerprint authentication).

o ‘Integratie van eID-technologie in domotica software’ (Lander Dufour en Brechtel Wancour). Dit eindwerk gaat na hoe de elektronische identiteitskaart kan geïntegreerd worden met domotica. Domotica wordt hierbij niet enkel gebruikt als een comfortverhogende installatie, maar ook als essentiële bijstand voor hulpbehoevenden. De elektronische identiteitskaart doet dienst als identificatie van betrokken personen. Het eindwerk bestaat enerzijds uit de ontwikkeling van het correcte model om deze toepassing mogelijk te maken en anderzijds uit een prototype ontwikkeling om de werking van het systeem te illustreren. Hiervoor wordt gebruik gemaakt van een bestaande simulatieomgeving voor domotica. Er wordt in het bijzonder gefocust op beveiligingsaspecten.

http://www.cetic.be/internal553.html

154

o ‘Ontwikkeling van een privacy-vriendelijk ticketing systeem’ (Bram Verdegem). De elektronische identiteitskaart kan gebruikt worden om tickets te verkrijgen voor bepaalde evenementen (zoals voetbalwedstrijden, concerten, festivals,...). Op deze manier weet de organisator precies welke individuen op het evenement aanwezig zijn.

Andere onderwerpen van thesissen zijn:

o ‘Ontwikkeling van een privacy-vriendelijke vakantieomgeving’ (Ief Loos). In deze toepassing wordt een privacy-vriendelijke omgeving voor toeristen in een vakantiepark ontwikkeld. Na een eID-registratie ontvangt de gebruiker een smartcard met legitimatiebewijzen waarmee hij toegang kan verkrijgen tot de hotelkamer en/of parkeerplaats en die hem een beperkte toegang verleent tot andere diensten binnen het park (zoals zwembad, sauna,...).

o ‘Ontwikkeling van een veilige toepassing voor beheer van onroerend goed en juridisch advies’ (Thibaut Van Sinay). In deze toepassing wordt een omgeving ontwikkeld voor het beheren van informatie over onroerende goederen en juridisch advies. In een eerste fase worden scenario’s uitgewerkt en worden de vereisten van alle stakeholders binnen het systeem in kaart gebracht. In een tweede fase worden een aantal technologieën bestudeerd. De eID-technologie wordt gebruikt om gebruikers binnen het systeem te registreren. In een derde fase wordt het systeem gemodelleerd, ontwikkeld en geëvalueerd.

Katholieke Hogeschool Limburg Thesis: ‘eID: wat is het, hoe werkt het, wat zijn de mogelijkheden?’ (Alexander Goossens). Dit eindwerk beschrijft de theorie rond eID, wetgeving, technische kenmerken, veiligheid, toekomstige toepassingen, voordelen en nadelen. Er wordt ook een project uitgewerkt waarin de eID gebruikt wordt, namelijk Autodelen (zie case studies).

Erasmus Hogeschool – Brussel Thesis: ‘Prikklok en toegangsysteem door middel van de eID’ (Joris Vanden Bergh en Bart Van Hoecke). Doel van de thesis is een kostenefficiënt alternatief bieden voor (vooral) kleine en middelgrote ondernemingen voor een prikklok en om toegangen efficiënter te kunnen beheren en monitoren.

Samenvattend kunnen we stellen dat het meeste onderzoek door de onderzoeksgroepen gericht is op het garanderen van meer privacy en veiligheid voor de gebruiker van de eID-kaart. De thesissen hebben meer diverse thema’s als onderwerp.

155



9.3 Beschrijving van twee projecten: adapID en eIDea

adapID: Advanced Applications for Electronic Identity Cards in Flanders In het project adapID wordt onderzoek gedaan naar applicaties voor de eID die voldoende betrouwbaar en veilig zijn maar die de privacy van de gebruiker niet aantasten.

adapID is een project van IWT Vlaanderen (Instituut voor de aanmoediging van innovatie door Wetenschap en Technologie in Vlaanderen).

Het consortium bestaat uit:

McGill: School of Computer Science (Canada)

Intesi Group: Internationaal bedrijf dat oplossingen ontwikkelt in het domein van veiligheidssystemen voor data, authenticatie en Internet

K.U.Leuven: ICRI, COSIC, DistriNet

Lsec (Leuven Security Excellence Consortium): Onafhankelijke non-profit netwerkorganisatie van experten in IT-veiligheid

In de eerste fase worden meer geavanceerde technologieën en toepassingen ontwikkeld die rekening houden met de beperkingen van de architectuur van de huidige eID.

In een tweede fase zullen geavanceerde toepassingen ontwikkeld worden voor de volgende generatie van eID-kaarten. Dit zal bijkomende functionaliteiten toelaten en nieuwe applicaties mogelijk maken.

Anonieme credentials

Met de huidige eID kunnen alle gegevens uitgelezen worden. Er zijn reeds toepassingen die selectief gegevens weergeven (bijv. enkel de leeftijd) maar uiteindelijk wordt wel alles uitgelezen en heeft de gebruiker geen controle over de gegevens die gestockeerd worden.

Om dit op te lossen kan gewerkt worden met zogenaamde “anonieme credentials”. Een anoniem credential is een anoniem certificaat dat toelaat om selectief gegevens vrij te geven die niet gekoppeld worden aan de identiteit. De eID wordt enkel gebruikt in de beginfase van de toepassing, als “bootstrap”, om andere credentialsystemen te initiëren. Nadien wordt een andere credential gebruikt. Deze is “anoniem”: ze kan niet in verband gebracht worden met de eerste, die gekoppeld is aan de eID.

Er kunnen meerdere anonieme credentials worden opgemaakt die in verschillende domeinen kunnen worden gebruikt. De gebruiker kan bij elke transactie kiezen welke credential vrijgegeven wordt. Vermits er geen link is met de identiteit, kunnen de gegevens uit de verschillende domeinen niet gekoppeld worden aan elkaar, omdat er geen uniek identificatienummer wordt gebruikt. Omdat je anoniem blijft heb je je privacy volledig zelf onder controle.

Credentials zouden ook kunnen worden uitgereikt door het bedrijf waar je werkzaam bent, waarbij je functie kan worden vermeld, maar niet je naam: dit zou je de mogelijkheid geven om bijvoorbeeld documenten elektronisch te ondertekenen als vertegenwoordiger van het bedrijf, zonder rechtstreeks je persoonlijke identiteit mee te delen.

Voor het aanbieden van de anonieme credentials zal een gebruiksvriendelijke interface moeten worden ontwikkeld waarin de gebruiker zelf zal kunnen aangeven hoe belangrijk privacy voor hem/haar is. Er zullen bovendien een aantal geprivilegieerde gebruikers zijn, bijvoorbeeld overheid en politie.

156

Beperkingen van anonieme credentials

Het nadeel van het werken met anonieme credentials is dat je ze moet bijhouden op je systeem. Uiteraard geeft dit problemen als je ze toevallig verwijdert of bij een computercrash. Bovendien heb je, om de credentials op de eID te zetten, een krachtige processor en voldoende geheugen op de chip nodig. Het is niet zeker of dit mogelijk is met de huidige eID.

Een andere mogelijkheid is om ze op een online server te zetten en enkel op te halen op het moment dat je ze nodig hebt, met inachtname van voldoende veiligheidsgaranties.

Trusted third parties

Trusted third parties kunnen de echte identiteit terugvinden indien dit nodig zou blijken. Bijvoorbeeld bij voetbalsupporters: zij krijgen een toegangsticket op basis van een anoniem credential om hun privacy te beschermen, maar als ze problemen veroorzaken, dan kan de identiteit van de supporters worden opgespoord.

Andere onderzoeksdomeinen

Naast het onderzoek naar anonieme credentials wordt er onderzoek gedaan naar:

Veilige integratie van biometrie en cryptologie

Betrouwbare en bewijsbare veiligheid voor privacyvriendelijke protocollen

Afhandelen van betwistingen

Vertrouwde modules voor het beveiligen van toepassingen en diensten

Juridische aspecten van operationeel vertrouwen binnen een open netwerk

Het raamwerk en de basistechnologieën zullen gevalideerd en getest worden in drie centrale toepassingen:

e-archiving

e-health

e-government

Voor elk van deze gebieden zullen er concrete beperkingen en doelstellingen vastgelegd worden en zal er een ‘proof of concept’ implementatie ontwikkeld worden.

Er zijn een aantal protocols uitgewerkt, die momenteel worden voorgelegd aan de federale overheid, maar het is niet duidelijk of de kaart krachtig genoeg zal zijn om alle protocols te ondersteunen.

eIDea: Ontwikkeling van veilige toepassingen met de eID Het project wordt uitgevoerd door de onderzoeksgroep DistriNet van de K.U. Leuven, Onderzoekseenheid "Beveiliging" en de vakgroep IT van het departement Industrieel Ingenieur van het KaHo Sint-Lieven in Gent.

Het wordt gesponsord door het IWT en opgevolgd door een gebruikerscommissie bestaande uit: COMmeto, 4all networks, Intesi, Zetes, Alphatronics, Roadbyte, Custodix, KMO-IT, IBM, D Soft, ZION Security, Arena Solutions, Interact, ProFon, Deloitte, ATOS Worldline, dZine, IWT, DSP Valley en Fedict.

Het project is ontstaan uit een aantal bezorgdheden omtrent de beperkte mogelijkheden van een veelvuldig gebruik van de eID (aangehaald door zowel eindgebruikers als softwareontwikkelaars die geconsulteerd werden), namelijk:

157



De eID is niet erg gebruiksvriendelijk: authenticatie is enkel mogelijk door het inbrengen van de kaart in een kaartlezer en het intikken van een pincode.

De eID is niet erg robuust: slijtage treedt op bij intensief gebruik van de kaart.

De eID biedt geen bescherming van de privacy: bij elk gebruik van de kaart worden een aantal identiteitsgegevens prijs gegeven en bovendien is het mogelijk om elk gebruik van de eID te linken en aldus een gebruikersprofiel op te stellen.

Dit project bestudeert de eID als middel om nieuwe (toegangs)tokens te verkrijgen of om gebruikers toch de mogelijkheid te geven zich te authenticeren indien andere tokens, zoals paswoorden, pincodes, enz, verloren zijn gegaan.

Deze benadering maakt de integratie van de eID binnen een breed domein van applicaties een stuk realistischer en attractiever. De aanpak wordt getoetst aan drie toepassingsdomeinen:

Ticketing systemen

Toepassingen binnen de thuisomgeving

Systemen waarbij gebruikers zich moeten authenticeren om toegang te verkrijgen tot gebouwen, apparatuur of diensten.

Ticketing systemen

De eID kan gebruikt worden om tickets te verkrijgen voor bepaalde evenementen, zoals voetbalwedstrijden, concerten, festivals, enz. Op deze manier weet de organisator precies welke personen op het evenement aanwezig zijn. Bij de aankoop van zo een ticket geeft de gebruiker een aantal persoonlijke gegevens vrij, zoals adresgegevens of leeftijd. Een privacy-vriendelijkere aanpak bestaat erin dat een trusted third party persoonsgebonden anonieme tokens uitreikt, bijvoorbeeld een pseudoniemcertificaat of een anonieme credential, na authenticatie met de eID. Alvorens het token wordt uitgereikt, wordt online gecheckt met die organisatie of overheid of de persoon een toegangsverbod is opgelegd. Met dit token kan het individu dan later anonieme tickets bestellen bij een (online) verkooppunt. Mocht iemand achteraf een toegangsverbod worden opgelegd, dan kan de trusted third party het ticket intrekken, dus ongeldig verklaren. In geval van zware rellen kan justitie de identiteit van iedereen die een ticket gekocht heeft toch laten achterhalen, eventueel beperkt tot een bepaalde zone van het stadium.

Toepassingen binnen de thuisomgeving

Tal van applicaties vallen binnen deze categorie. Zo kan authenticatie met de eID vereist zijn om bepaalde instellingen van het alarmsysteem te wijzigen. Dit kan voorkomen dat inbrekers het alarm kunnen afzetten. De eID kan ook gebruikt worden om instellingen te wijzigen binnen een domotica-systeem indien paswoorden of pincodes verloren zijn gegaan. Eveneens kan de kaart gebruikt worden om nieuwe pincodes of paswoorden te genereren. Op deze manier wordt voorkomen dat niet geprivilegieerde gebruikers de instellingen wijzigen. De kaart kan ook gebruikt worden om tokens te verlenen aan personen die geregeld de woning moeten kunnen betreden, zoals een poetsvrouw, tuinier, sociale helpster, verpleegster, enz. Deze tokens kunnen op smart devices geplaatst worden en ingetrokken worden indien de personen niet langer toegang tot de woning mogen hebben. Dit alternatief is veiliger en gebruiksvriendelijker dan de traditionele aanpak waarbij fysieke sleutels aan dergelijke personen worden uitgereikt. In deze toepassingen is privacy minder belangrijk.

Toegang verkrijgen tot gebouwen of diensten

Bij deze toepassing worden tokens verleend na authenticatie met de eID die het individu kan gebruiken om anoniem toegang te verkrijgen tot bepaalde diensten, apparatuur of ruimtes. Het type device waar de tokens worden opgeslagen hangt af van de setting. Zo kan een individu tokens op

158

een smartcard verkrijgen om in een vakantiepark of pretpark een aantal attracties te bezoeken. Een gebruiker kan tokens op zijn GSM of PDA opslaan om contactloos toegang te krijgen tot bepaalde gebouwen in de werkruimte. Tenslotte kunnen tokens ook gebruikt worden om anoniem toegang te verkrijgen tot bepaalde locaties in een winkel of tentoonstellingsruimte, waar bijvoorbeeld waardevolle goederen worden opgeslagen, zoals juwelen. Indien zich een misdrijf voordoet, dan kan de identiteit van de personen die op dat moment in dat gedeelte van de ruimte aanwezig waren toch nog achterhaald worden.

Onderzoeksuitdagingen

De hoofddoelstelling van dit project is het ontwikkelen van toepassingen waarbij authenticatie gebeurt door het tonen van tokens die verkregen worden door het bewijzen van de identiteit m.b.v. de eID. Dit resulteert in de volgende onderzoeksuitdagingen:

1. Studie en vergelijking van cryptografische technologieën voor toegangstokens. Traditionele certificaten bevatten typisch een verwijzing naar de identiteit van een individu of organisatie. Daarnaast worden privacy-vriendelijkere alternatieven bestudeerd zoals pseudoniem certificaten, (anonieme) credentials, … Tokens moeten bovendien op een veilige manier opgeslagen kunnen worden op devices.

2. Studie van mogelijkheden en beperkingen van smart devices om tokens op te slaan. De eigenschappen van verschillende soorten devices worden bestudeerd. Belangrijke parameters zijn o.a. kost, veiligheid, beschikbaar geheugen, processorkracht,… Enerzijds worden devices bestudeerd die een groot aantal gebruikers reeds bezitten, zoals GSM, PC, PDA,... Anderzijds kan de gebruiker nieuwe smart devices ter beschikking krijgen waarop tokens worden geplaatst, zoals smart cards, RFID tags, ibuttons,...

3. Studie en ontwikkeling van infrastructuur om tokens uit te reiken, te verifiëren en in te trekken. Bij toepassingen in een thuisomgeving kan de eigenaar van de woning zelf tokens aanmaken en uitreiken. Bij andere toepassingen is een vertrouwde derde partij vereist. Bestaande infrastructuur (zoals bankterminals) kan misschien aangewend worden voor het uitreiken van tokens.

4. Studie en ontwikkeling van applicaties binnen drie domeinen. De ontwikkeling van applicaties ondersteunt het onderzoek uit de vorige peilers. De niet-functionele vereisten, zoals veiligheid, gebruiksvriendelijkheid, aansprakelijkheid,... verschillen in elk van de toepassingsgebieden die worden beschreven. Deze vereisten hebben een invloed op de token-technologie en het type device dat geselecteerd wordt

5. Ontwikkeling van een raamwerk ter ondersteuning van nieuwe toepassingen. De toepassingen worden ontwikkeld binnen een raamwerk dat ook de bouw van nieuwe toepassingen vereenvoudigt. Bovendien moet het raamwerk toelaten dat applicaties compatibel zijn met nieuwe generaties van identiteitskaarten.

Valorisatiepotentieel

België is een pionier in de realisatie en distributie van de eID. Dit schept opportuniteiten voor de industriële actoren die aanwezig zijn op de Belgische markt. Belgische industriële spelers kunnen door de aanwezigheid van de eID reeds in een vroeg stadium nieuw applicaties ontwikkelen of de eID integreren in bestaande applicaties. Dit levert hen een competitief voordeel op ten opzichte van buitenlandse concurrenten. Hoewel momenteel heel wat e-government applicaties ontwikkeld worden, is het economisch voordeel binnen bepaalde takken van de privé-sector eveneens erg groot.

159



10 Conclusies en aanbevelingen

Vanuit de analyse van de diverse facetten van de eID worden in dit hoofdstuk conclusies en aanbevelingen geformuleerd. We vertrekken hierbij vanuit het perspectief van het bedrijf, met als doel het gebruik van de eID te stimuleren bij ondernemers.

10.1 Conclusies Een ondernemer zal de eID slechts in overweging nemen als:

Er een positieve kosten-baten-analyse kan gemaakt worden.

Er een stabiele omgeving wordt aangeboden op juridisch en technisch vlak.

Een eID-implementatie zal pas kunnen slagen als:

Er niet te veel drempels zijn bij de eindgebruikers.

Het gehele proces waarbinnen de eID wordt geïmplementeerd, wordt geoptimaliseerd.

1. Een ondernemer zal de eID slechts in overweging nemen als er een positieve kosten-baten-analyse kan gemaakt worden.

De investering in de eID-technologie moet voldoende kunnen opbrengen in termen van kostreductie, optimalisatie van processen, kwaliteitsverhoging, enz. Op zich kan de eID hier een bijdrage leveren, gezien de steeds maar toenemende automatisering van de bedrijfsprocessen.

Uit de case studies kunnen we afleiden dat er steeds gezocht wordt naar een win-win-situatie voor de bedrijven en de eindgebruikers. Bijvoorbeeld een besparing, voor het bedrijf, op de verzendingskosten door het aanbieden van online diensten waarbij een eID-kaartlezer gratis wordt aangeboden aan de eindgebruiker.

Uit de gesprekken met ondernemers en gebruikers van eID-toepassingen blijkt dat men de gebruiksvriendelijkheid van de eID-kaart belangrijk vindt. Uiteraard dient hier steeds een afweging gemaakt te worden tussen gebruiksvriendelijkheid, veiligheid en privacy. Hoe meer functies kunnen geïntegreerd worden op één kaart (bijvoorbeeld eID, SIS-kaart, rijbewijs,...) hoe gebruiksvriendelijker maar hoe groter het risico op schending van de privacy of hoe groter de gevolgen bij het verlies van de kaart.

Uit de analyse van applicaties op Internet blijkt dat de eID kan bijdragen tot een grotere veiligheid, maar dat dit vaak ten koste gaat van de anonimiteit. Ook hier dient steeds een afweging gemaakt te worden.

Als we het volledige plaatje bekijken, zowel de economische, de juridische, de technische en ook psychologische aspecten, dan blijkt dat er in de huidige context vaak meer hinderpalen dan stimulansen kunnen gevonden worden voor het gebruik van de eID. Deze worden beschreven in de hiernavolgende conclusies.

160

2. Een ondernemer zal de eID slechts in overweging nemen als er een stabiele omgeving wordt aangeboden op juridisch vlak.

De overheid stelt de infrastructuur voor de eID en de daaraan gekoppelde certificaten ter beschikking van bedrijven. Technisch zijn er door Fedict documenten gepubliceerd over het ontwikkelen van applicaties die gebruik maken van de functionaliteiten van de eID. Juridisch echter is dit niet zo duidelijk:

Onvolledigheid: er is een gebrek aan wetgeving over standaarden, mandaten, timestamping en elektronische archivering.

Onduidelijkheid: wat mag wel en wat mag niet m.b.t. het gebruik van het rijksregisternummer. De termen die gebruikt worden zijn vaag en in contradictie met de technologie. Bijvoorbeeld: bij het lezen van de elektronische gegevens heb je technisch niet de mogelijkheid om het rijksregisternummer of de leeftijd van de persoon niet te lezen. Stricto senso mag je de kaart niet gebruiken en toch gebeurt het – een gedoogbeleid. Waar ligt de grens dan?

Los van de werkelijkheid: De wetgeving omtrent de elektronische identiteitskaart en de elektronische handtekening wordt op punt gesteld zonder rekening te houden met de processen waarin deze gebruikt worden. Wat baat het een elektronisch ondertekend document aan te maken, als de overheid je verplicht om een papieren kopie bij te houden.

Dualiteit tussen wetgeving en technologie: de wetgeving is per definitie een lange termijn proces – zowel voor de totstandkoming als voor de levensduur ervan. De gebruikte terminologie moet deze termijn kunnen overbruggen, vandaar een zekere vaagheid bij het uitschrijven van wetteksten. Technologie daarentegen evolueert bijzonder snel. Bovendien is technologie een domein waar het juist belangrijk is om exact en to-the-point dingen te omschrijven. Het opnemen van technologische referenties in de wetgeving is dan ook een contradictio in terminis.

Deze problematiek wordt eveneens onderkend in het aspect bestrijding van misdaad en misbruik van vertrouwen op het internet. Hier evolueert men naar modellen van consensus tussen de verschillende partijen.

Wat mag niet i.p.v. wat mag wel: “Inbreuk op de privacy” is een term die veelvuldig gebruikt wordt en verhalen over misbruik halen snel het nieuws. Dit creëert een sfeer van wantrouwen, die niet steeds terecht is. Veel bedrijven zijn verplicht om op een of andere manier aan de overheid details over hun klanten mee te delen. De meeste misbruiken vinden hun oorsprong bij internationale organisaties, die ontsnappen aan de Belgische wetgeving of C2C business, waarbij het handelvoeren door individuen bijlange niet geregulariseerd is zoals het handelvoeren door bedrijven.

Deze hiaten en onduidelijkheid in de wetgeving zijn inhibitoren voor ondernemers die de eID willen gebruiken in hun bedrijfsvoering.

161



3. Een ondernemer zal de eID slechts in overweging nemen als er een stabiele omgeving wordt aangeboden op technisch vlak.

Het is en blijft een complexe materie, maar op zich is technologie en complexiteit van technologie geen barrière voor de ondernemer. Ook is technologie op zich voor de gebruiker geen barrière, op voorwaarde dat hij niet geconfronteerd wordt met de complexiteit van deze technologie. Uiteraard zal de ondernemer niet investeren in applicaties voor de eindgebruiker, als deze er niet klaar voor is.

Er zijn een aantal problemen door de technische context, zoals:

Gebrek aan kennis: onwetendheid bij de eindgebruikers over de elektronische identiteit en elektronische handtekening. De gebruiker krijgt een kaart maar weet niet wat en hoe te gebruiken. Bij wijze van spreken: de instructie zegt “duw op de knop” en hij ziet 2 knoppen.

Nood aan bijkomende werktuigen: voor het gebruik van de eID bij e-commerce en e-government, moet de gebruiker zich minstens een kaartlezer aanschaffen en software installeren. Bovendien leidt het gebrek aan integratie en automatisatie van sommige processen tot de behoefte aan een scanner of een digitaal fototoestel, een printer en een fax, om de papieren versie van de elektronische documenten verder te verwerken.

Gebrek aan gebruiksvriendelijkheid: de eindgebruiker is niet familiair met termen zoals middleware, authenticatie, certificaten, enz. Als de installatie niet lukt van de eerste keer, haakt de gebruiker af.

Gebrek aan ondersteuning: er is geen uniek contactpunt waar men terecht kan met vragen en problemen.

We willen hier wel opmerken dat voor het gebruik van de bankkaart – die trouwens ook steunt op de technologie van een smartcard en certificaten met publieke en private sleutels – nooit sprake is geweest van gebrek aan technische kennis. Er was weliswaar een barrière voor het gebruik, maar dit heeft hoofdzakelijk te maken met de natuurlijke weerstand van mensen tegen verandering en nieuwe dingen. In essentie is de eID hetzelfde als een bankkaart, maar we merken volgende verschillen in de aanpak:

Bij de uitgifte van de bankkaart is er duidelijk een owner, namelijk de bank die de kaart uitgeeft. Je kan terecht aan het loket of op een centraal telefoonnummer van dezelfde bank voor alle problemen in verband met de bankkaart.

De eID kaart wordt uitgereikt door de gemeente, De FOD Binnenlandse Zaken heeft een brochure gemaakt, voor problemen bij ontwikkeling van applicaties moet je bij Fedict zijn, Fedict bezorgt de 12-jarigen een gratis kaartlezer bij het ontvangen van hun eID,...

De bankkaart is enkel bedoeld voor elektronische transacties, geen menging van functies

De eID kaart wordt uitgereikt ter vervanging van het papieren document – zonder bijkomende uitleg over elektronische identiteit, authenticatie en elektronische handtekening. Er wordt enkel gevraagd één pincode te activeren.

Je wordt continu geïnformeerd over hoe je de kaart veilig kunt gebruiken of je wordt gewaarschuwd over malafide praktijken.

In de pers komen meestal verhalen over verkeerd gebruik en misbruik – waar blijven stimulerende richtlijnen …?

De bank neemt de verantwoordelijkheid voor het voorzien van kaartlezers daar waar ze nodig zijn en in functie van de dienst die ze willen verlenen, ook voor de thuisomgeving. De bank levert de nodige ondersteuning voor de mogelijke installaties van de hardware en software.

162

Gratis kaartlezers worden op kleine schaal uitgereikt, installatie van de software is zonder helpdesk.

Banken voorzien allerlei diensten die vereenvoudigen of enkel mogelijk zijn door het gebruik van de kaart en die 24h/7d beschikbaar zijn. Er is duidelijk een win-win situatie

Elektronische diensten van de overheid beperken zich vaak tot het downloaden van een document. Je moet beschikken over een printer om het af te drukken. Daarna vul je het in en moet het ofwel terugsturen of terugfaxen. Betalingen gebeuren door het uitvoeren van een overschrijving. En als de dienst het geld ontvangen heeft, dan ontvang je per post een document of moet je het aan het loket gaan halen. Enkele nieuwe diensten zijn ondertussen beschikbaar: onder andere tax-on-web. Wat is de win-win situatie?

De kaart is bruikbaar op de verschillende automaten van de verschillende banken, zelfs in het buitenland.

Probeer vooral niet je eID in het buitenland te gebruiken. En wat als je je bankkaart in je eID-lezer steekt ?

Ook het voorbeeld van Minitel in Frankrijk is sprekend. Het ongelooflijk succes heeft zelfs gezorgd voor een vertraging van het fenomeen Internet. Het succes heeft alles te maken met de integrale aanpak: toestellen, netwerk, gebruiksvriendelijkheid, beschikbare informatie, veel applicaties, en diensten die beschikbaar zijn 24h/7d: een duidelijke win-win strategie.

4. Voor bedrijven en voor het Internet zijn er geen grenzen. Een internationaal draagvlak voor eID is noodzakelijk.

Het gebruik van de eID stopt niet aan de grenzen van het land. Deze bewering is zeker van toepassing voor het Internet. Bij grensoverschrijdend gebruik van de eID zijn internationale standaarden en afspraken noodzakelijk om dit technisch mogelijk te maken. Behalve technische aspecten zijn overeenkomsten en wederzijdse erkenning van processen en procedures evenzeer belangrijk.

Het is dus essentieel dat de Belgische eID opgenomen wordt in een internationale context.

Op Europees niveau zijn er weliswaar heel wat organen actief rond deze materie. Dit geeft dan ook aan dat deze uitwisselbaarheid vandaag zeker nog geen realiteit is. Projecten in een internationale context worden geconfronteerd met allerlei praktische zaken die niet afgedekt zijn: heel wat databanken en bestanden die geconsulteerd worden tijdens de processen/applicaties zijn lokaal, de middleware is typisch geschreven voor de lokale eID, processen en procedures voor certificaten zijn overal verschillend, security levels zijn per land verschillend, enz.

Omdat België een pionier is, lopen we het risico dat het ingevoerde systeem niet beantwoordt aan de toekomstige standaarden. Dit heeft als gevolg dat de technologie moet aangepast worden aan de nieuwe standaarden. Dit creëert een handicap en is een hinderpaal voor bedrijven om vroegtijdig te investeren in het ontwikkelen van applicaties met het risico alles te moeten herschrijven. Zij wachten tot er stabiliteit en duidelijkheid is.

163



5. Een eID-implementatie zal pas kunnen slagen als er geen drempels zijn bij de eindgebruikers.

Het belangrijkste wat we uit de psychologische context van de eID kunnen besluiten is dat het gebruik van de eID ver afstaat van de leefwereld van de burger. Er is veel onwetendheid over de eID en uit die onwetendheid groeit vaak een wantrouwen en zelfs weerstand tegen de eID.

Door de Privacycommissie wordt de nadruk gelegd op de gevaren die de eID met zich kan meebrengen. Er is weinig aandacht voor de werkelijke grond van de zaak, namelijk de beweegredenen voor de invoering van een elektronische identiteit. Er wordt weinig beroep gedaan op de “common sense” van de mensen, op het feit dat de elektronische identiteit een onderdeel zal vormen van de toekomstige elektronische communicatie die onvermijdelijk is in de geglobaliseerde wereld.

In het juridische discours rond de eID wordt veel belang gehecht aan de Privacycommissie, terwijl er onvoldoende tegengewicht in de positieve zin wordt gegeven, een onvoldoende positieve benadering van de mogelijkheden van de eID en de algemene trend wereldwijd van een overschakeling naar een elektronische identiteit.

Er is een grote tegenspraak binnen de diensten van de federale overheid: aan de ene kant wordt de eID uitgedeeld en aan de andere kant belemmert de Privacycommissie quasi elk gebruik ervan.

Uiteraard zijn een groot aantal van de belemmeringen van het gebruik van de eID te verklaren door het feit dat mensen nu eenmaal niet graag veranderen. Omdat België een pioniersrol speelt in het domein van de eID zullen deze “overgangsverschijnselen” veel groter zijn dan in een land dat de eID pas binnen een aantal jaar zal invoeren, omdat dan gebruik kan gemaakt worden van de expertise en “lessons learned”, o.a. van de Belgische eID.

Anderzijds kan België een belangrijke rol spelen in het ontwikkelen van standaarden omtrent het gebruik van de eID.

164

6. Een eID-implementatie zal pas kunnen slagen als het gehele proces waarbinnen de eID wordt geïmplementeerd, geoptimaliseerd wordt.

Uit de analyse van de case studies blijkt dat net deze case studies succesvol zijn die het volledige proces beschouwen en proberen te optimaliseren. Het invoeren van de eID in de bedrijfsprocessen vergt een grondige “process reengineering”. Als de eID enkel gezien wordt als een technische “enabler”, zonder het proces te herbekijken dan is het project gedoemd om te mislukken.

De eID moet daarom geïntegreerd worden in een andere manier van werken, een elektronische manier van werken. Dit vergt een investering in technologie, niet alleen van de overheid en de bedrijven, maar ook van de burgers.

Het gebruik van de eID kan bepaalde onvolkomenheden van de bestaande processen blootleggen die mogelijks stoten op weerstand tot verstrakking van het systeem.

Bijvoorbeeld de handtekening van een geneesheer op een voorschrift. Een geneesheer in een ziekenhuis heeft vaak niet de tijd om zelf alle voorschriften te ondertekenen. Het is een gewoonte om deze taak te delegeren. Niemand stelt zich daar vragen bij. Het gebruik van de elektronische handtekening is een oplossing die naar voren geschoven wordt omdat ze tijdsbesparend is voor de dokter. Maar in relatie tot het bestaande proces is dat niet zo – integendeel, door de controle van de certificaten is de dokter nu verplicht om het zelf te doen. Dit is de onderliggende essentie van de weerstand tegen het gebruik van de elektronische handtekening

Bij het herdenken van processen en het integreren van de eID tot veilige en juridisch afdwingbare geautomatiseerde processen worden mensen verplicht om bestaande toestanden in vraag te stellen Er is een spontane weerstand tegen verandering. Bij kritiek richten ze hun pijlen eerder op het object, de eID, dan op het archaïsch proces.

Het veranderen van processen is traag en moeizaam omdat ook de attitudes van de mensen moeten aangepast worden. Dit zijn typisch langdurige trajecten waarbij in dit geval de eID slechts een technische “enabler” is. Het is dus heel belangrijk om te beseffen dat de invoering van de eID meer is dan alleen het aanschaffen van een badgelezer.

Een ander voorbeeld is de digitale handtekening en het bewaren van afgedrukte exemplaren van een document. Mensen moeten anders leren denken, want een digitaal ondertekend document verliest in afgedrukte versie alle juridische waarde. Hier dient wel opgemerkt te worden dat het juridische kader rond e-archivering nog niet volledig op punt staat.

165



10.2 Aanbevelingen

Uit de bovenstaande conclusies kunnen volgende aanbevelingen worden geformuleerd:

1. Er moet één owner en één geïntegreerde aanpak zijn van het project eID met een communicatieplan naar bevolking en bedrijven toe.

Eén enkele ‘owner’ van het project eID, die alle acties leidt, ondersteund door de verschillende FOD’s.

One team – one voice: een geïntegreerde communicatie – gemeenschappelijke en duidelijke boodschappen .

Een positieve communicatie in een taal die aangepast is aan de doelgroep.

Een geïntegreerde aanpak: de uitreiking van de kaart kan men niet beschouwen als een geïsoleerde activiteit. Samen met de uitreiking moet men communiceren, aanleren hoe de kaart te gebruiken, argumenteren en de mensen zin geven om de kaart te gebruiken, een infrastructuur tot stand brengen om gebruik te kunnen maken van de kaart, de ondernemerswereld stimuleren om diensten te creëren die de kaart gebruiken.

Een voortrekkersrol op zich nemen, gelinkt aan een coherente houding ten opzichte van de eID en de elektronische handtekening. Integreren van de eID en de elektronische handtekening in alle nieuwe oplossingen.

Oprichten van een uniek contactpunt voor alle diensten rond de eID en de elektronische handtekening, via telefoon, internet, enz.

In deze positieve atmosfeer zullen de bedrijven met veel enthousiasme willen investeren in applicaties die gebruik maken van deze moderne technieken. Zo wordt ook het innovatieve imago van ons land in de verf gezet.

2. Er moet een stabiel platform gecreëerd worden in een duidelijk en stabiel juridisch en technisch kader.

Een verstaanbare regelgeving rond de eID en de elektronische handtekening, die volledig is en stabiel in de tijd.

Stabiele en afdwingbare normen en standaarden.

Een universele omgeving creëren: standaarden die het gebruik van de eID eenvoudig en uitwisselbaar maken.

Standaarden in lijn met internationale standaarden.

3. Er moet een klimaat van vertrouwen gecreëerd worden tussen de overheid enerzijds en de bedrijven en burgers anderzijds.

De overheid heeft een imago van ‘Big Brother’. Daarom moet er vertrouwen gecreëerd worden, en moet het positieve van de handelingen in het daglicht gesteld worden. Er moet dus een motiverende context gecreëerd worden bij het gebruik van de eID:

o Vermindering van papieren rompslomp.

o Een redelijke termijn voor de afhandeling van een dossier.

166

o Duidelijkheid van de informatie – eenmalige opvraging van gegevens.

o Spontane subsidies.

o Permanente beschikbaarheid van diensten (cf. gebruik van internet).

o Geen grenzen tussen FOD’s of andere bestuursniveaus.

o Verkrijgen van diensten zonder zich te verplaatsen, zonder wachttijden.

Een tweede aspect bij het winnen van vertrouwen is transparantie:

o Meer goede voorbeelden benadrukken, zoals ‘Mijn Dossier’, waar de burger zijn eigen gegevens kan verifiëren en kan zien wie zijn gegevens heeft geraadpleegd.

o Duidelijke beschrijving van de te volgen stappen in een proces, van de totale kost, de controlepunten, de actoren en hun verantwoordelijkheden, de ultieme datum van beslissing, de mogelijkheden om klacht in te dienen, enz.

o Duidelijkheid van de instructies.

Een derde aspect is zin voor realiteit.

4. De ondernemers moeten voldoende technische ondersteuning krijgen om de overstap naar eID te vergemakkelijken.

Middleware aangepast aan de noden van de ondernemers.

Beperken van het aantal versiewijzigingen van de middleware.

Goede communicatie bij versiewijzigingen van de middleware.

Een helpdesk voor problemen met de middleware.

Goedkope of gratis kaartlezers voor gebruikers van eID-toepassingen.

Specifieke communicatie naar bedrijven.

167



Bijlagen

De volgende bijlagen werden opgenomen:

1. Terminologie

2. Geconsulteerde bronnen

3. Lijsten gecontacteerde personen

4. Enkele belangrijke certificatieautoriteiten

5. Vragenlijst workshops ondernemers

6. Bespreking van enkele mobiele eID-toestellen

7. Fiches van eID-toepassingen

168

Bijlage 1: Terminologie

De meest gebruikte termen en afkortingen in de juridische en technische context van de eID worden hieronder toegelicht.

A. Juridische terminologie

Tijdens de interviews en de gesprekken met experten, stakeholders, ondernemers en gebruikers viel het op dat er veel spraakverwarring bestaat rond de termen identificatie en authenticatie. Daarom wordt hier het onderscheid tussen de juridische en de technische betekenis van de termen geschetst:

Identificatie

Juridisch: het vaststellen van de identiteit van een persoon, of ook wel het tonen van een geaccepteerd persoonbewijs waaruit de bevoegde instantie de identiteit van een persoon kan vaststellen

Technisch: het kenbaar maken van de identiteit van een subject (een gebruiker of een proces) in de informatietechnologie. De identiteit wordt gebruikt om de toegang van het subject tot het object te beheersen. Vanuit de optiek van informatiebeveiliging is identificatie van een subject de eerste stap in het autorisatieproces.

Authenticatie

Juridisch: heeft geen betekenis. Authenticatie wordt wel vaak verward of gelinkt met ‘authenticiteit’ of ‘authentiek’.

Technisch: is het proces waarbij iemand, een computer of applicatie nagaat of een gebruiker, een andere computer of applicatie daadwerkelijk is wie hij beweert te zijn. Bij de authenticatie wordt gecontroleerd of een opgegeven bewijs van identiteit overeenkomt met echtheidskenmerken. Authenticatie is de tweede stap in het toegangscontroleproces (de derde en laatste stap is autorisatie).

Elektronische versus digitale handtekening De notie ‘elektronische handtekening’ wordt vaak verward met de ‘digitale handtekening’:

De term ‘elektronische handtekening’, die vaak incorrect als synoniem van een digitale handtekening wordt gebruikt, is een wettelijke definitie voor diverse, niet noodzakelijk cryptografische, methoden om de identiteit van iemand die een elektronisch bericht zendt, te bevestigen. Dit omvat behalve een digitale handtekening ook bijvoorbeeld telegram- en telexadressen en een geschreven handtekening op een gefaxt document.

Digitale handtekening: is het resultaat van de combinatie van cryptografische technieken met een geheel aan gegevens die toelaten data-integriteit te garanderen, alsook de identificatie (zelfs ook het pseudoniem) van de houder. De technologiëen die toelaten om digitale handtekeningen te genereren, bevatten normaal gezien twee algoritmes: het ene om te bevestigen dat de informatie niet werd veranderd door derden en het andere om de identiteit van de persoon die ondertekent, te garanderen. Voor het generen van digitale handtekeningen wordt de PKI (Public Key Infrastructure) infrastructuur gebruikt.

169



Rijksregister en rijksregisternummer Het valt op dat er verwarring bestaat tussen het ‘Rijksregister’ (als instituut en als databank) en het ‘rijksregisternummer’:

Het Rijksregister (met hoofdletter): is het instituut dat o.a. de gegevensdatabank die de gegevens over elke burger bevat, beheert. Zij valt onder de bevoegdheid van de FOD Binnenlandse Zaken.

Het rijksregister (met kleine letter): is een databank met gegevens over elke burger. Het valt onder de bevoegdheid van de FOD Binnenlandse Zaken. In de databank staan administratieve gegevens, zoals adres, burgerlijke staat, beroep, hoofdverblijfplaats, enz. De toegang tot het Rijksregister is zeer strikt geregeld in de Wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen.

Het rijksregisternummer: is een unieke gebruikersidentificatie verbonden met elke burger met de Belgische nationaliteit. Het bestaat uit elf cijfers, waarvan de eerste zes cijfers steeds verwijzen naar de geboortedatum. Het gebruik van het rijksregisternummer is strikt geregeld in de Wet van 8 augustus 1983 tot regeling van een rijksregister van de natuurlijke personen. Het nummer staat op de eID en op de SIS-kaart en wordt gebruikt door bevoegde instanties om een persoon te identificeren en informatie over die persoon op te slaan of op te vragen.

B. Technologische terminologie

AES Advanced Encryption Standard. De opvolger van DES, die de de facto standaard is voor encryptie van commerciële transacties in de private sector. De standaard is vastgelegd als FIPS 197, en is gebaseerd op de Belgische Reijndael-encryptie, opgesteld door Joan Daemen en Vincent Rijmen.

Authentication Reverse Proxy Een proxyserver is een server die zich bevindt tussen de computer van een gebruiker en de computer waarop de door de gebruiker gewenste informatie staat. Zo kan bijvoorbeeld een bedrijf alle werknemers via een proxyserver met Internet verbinden en voorkomen dat bepaalde webpagina's door die werknemers bekeken kunnen worden (afhandelen van aanvragen van binnen naar buiten).

De proxyserver kan ook als (onderdeel van) een firewall de toegang tot computers van gebruikers van buitenaf bemoeilijken en zo als beveiliging gebruikt worden. Deze afhandeling van aanvragen van buiten (Internet) naar binnen wordt "reverse proxy" genoemd. De authenticatie van de gebruiker kan gebeuren met de eID. Dit wordt voorgesteld in onderstaande figuur.

170

Bron: Presentatie tweede gebruikerscommissie e-IDea (30-01-08) – Domotica – Jorn Lapon

Autorisatieproces Identificatie: In informatietechnologie is identificatie het kenbaar maken van de identiteit van een gebruiker. Identificatie is een antwoord op de vraag: Wie ben je? Vanuit de optiek van informatiebeveiliging is identificatie van een subject de eerste stap in het autorisatieproces. Om de identiteit op een zinvolle manier te kunnen gebruiken, is het noodzakelijk dat elke toegepaste identiteit uniek is. Hiervoor gebruikt de overheid het rijksregisternummer. Elke burger krijgt bij registratie in het bevolkingsregister een uniek nummer toegekend.

Authenticatie: Bewijs wie je bent. Het vaststellen van de juistheid van de opgegeven identiteit. Dit is de tweede stap in het autorisatieproces. Bewijzen wie je bent gebeurt op basis van een officiële document of een certificaat.

Autorisatie: Het vaststellen van de rechten van de persoon. Wat de persoon mag zien en doen. Dit is de derde stap in het autorisatieproces .

Application Programming Interface (API) Een Application Programming Interface (API) is een verzameling definities op basis waarvan een computerprogramma kan communiceren met een ander programma of onderdeel (meestal in de vorm van bibliotheken). Vaak vormen API's de scheiding tussen verschillende lagen van abstractie, zodat applicaties op een hoog niveau van abstractie kunnen werken en het minder abstracte werk uitbesteden aan andere API's. Hierdoor hoeft bijvoorbeeld een tekenprogramma niet te weten hoe het de printer moet aansturen, maar roept het daarvoor een gespecialiseerd stuk software aan in een bibliotheek, via een afdruk-API.

Een API definieert de toegang tot de functionaliteit die er achter schuil gaat. De buitenwereld kent geen details van de functionaliteit of implementatie, maar weet dankzij de API wel hoe deze kan worden aangesproken. Een voordeel hiervan is dat met een API meerdere implementaties benaderbaar kunnen zijn, zolang deze maar voldoen aan de API.

Certificaat Een certificaat is een schriftelijke verklaring, doorgaans, maar niet altijd, bedoeld als bewijsstuk voor de kwaliteit van een bedrijf, dienst of product. Niet ieder bewijsstuk kan als certificaat worden aangemerkt: voor een trouwboekje of een kwitantie bijvoorbeeld wordt het woord niet gebruikt. In het Engels wordt het woord certificate in een aantal betekenissen gebruikt die certificaat in het

171



Nederlands niet heeft. Zo worden geboorte-, trouw- en overlijdensakten "certificates" genoemd. Een certificaat in de context van deze studie is een bewijs van echtheid of authenticiteit.

Digitaal certificaat

Digitale certificaten zijn de elektronische tegenhangers van de papieren identiteitsbewijzen zoals bijvoorbeeld het rijbewijs of paspoort. Een digitaal certificaat kan worden uitgegeven aan verschillende entiteiten, zoals individuen, maar ook aan machines zoals webservers.

Digitale certificaten worden gebruikt om identiteit te bewijzen, maar ook om communicatie te beveiligen (secure e-mail). Op basis van identificatie met behulp van een digitaal certificaat kan toegang tot informatie of netwerken worden gegeven.

Een digitaal certificaat bevat o.a. volgende informatie:

de geregistreerde naam van de eigenaar

de publieke sleutel van de eigenaar

de geldigheidsduur van het certificaat

de naam van de certificatieautoriteit

de locatie van de CRL (Certificate Revocation List) bij de certificatieautoriteit

een samenvatting van het certificaat, versleuteld (digitaal ondertekend) met de privé-sleutel van de certificatieautoriteit. Deze versleuteling maakt het certificaat moeilijk te vervalsen en is door iedereen d.m.v. de bijbehorende publieke sleutel te controleren.

Het digitaal certificaat bevestigt dat de publieke sleutel (en dus ook de privé sleutel) en de naam van de bezitter van het sleutelpaar onlosmakelijk met elkaar verbonden worden. Een digitaal certificaat verbindt dus een sleutelpaar aan een persoon of organisatie. Deze verbinding wordt gelegd door een trusted third party.

Certificatieautoriteit (Certification Authority, CA) De CA is de uitgever van digitale certificaten. De CA geeft een certificaat pas uit nadat de aanvrager van een certificaat op een aantal punten gecontroleerd is en ondertekent de door de aanvrager opgegeven informatie met zijn eigen private sleutel zodat er een digitaal certificaat ontstaat dat door iedereen kan worden herkend en gecontroleerd. Hoe strenger de controle is die voorafgaat aan het uitgeven van een certificaat, hoe waardevoller het certificaat is. De CA speelt een vertrouwensrol en iedereen die de certificaten gebruikt moet kunnen inzien welke normen de CA hanteert. Daarom stelt de CA ook een Certification Practice Statement op, waarin iedereen kan nalezen welke regels de CA hanteert.

Challenge-response authenticatie Een procedure voor authenticatie, waarbij de verifiërende partij een blok random data verstuurt naar de aanvrager, die op basis van z'n geheime informatie in staat is, het juiste daarbij behorende antwoord terug te sturen.

CPS (Certification Practice Statement) De CPS is het document waarin beschreven is welke procedures gehanteerd worden bij het uitgeven, beheren, intrekken en verlengen van certificaten. In de CPS kan een gebruiker van certificaten terugvinden hoe zorgvuldig een CA omgaat met certificaten in zijn dienstverlening. Een gebruiker kan aan de hand van het CPS een oordeel vormen over de betrouwbaarheid van een CA.

Credential Een credential is een synoniem voor certificaat. Het wordt meestal gebruikt in de context van anonieme credentials (of “private credentials”). Met een anoniem credential is het niet mogelijk om

172

de identiteit van de eigenaar te achterhalen. Het laat dus toe om selectief gegevens vrij te geven die niet gekoppeld worden aan de identiteit. Een eenvoudig voorbeeld van een anoniem credential is een pseudoniem.

CRL Certification Revocation List. Een digitaal certificaat heeft net als een paspoort of rijbewijs een beperkte geldigheidsduur. Wanneer de geldigheidstermijn verlopen is, kan het certificaat niet meer gebruikt worden en moet de houder een nieuw certificaat aanvragen. Naast het ongeldig worden van het certificaat door het verlopen van de geldigheidstermijn, is het ook mogelijk een certificaat voortijdig in te trekken. Ook dan is het certificaat niet meer geldig. Omdat een certificaat kan worden gekopieerd, kan niet in het certificaat zelf worden opgenomen dat deze is ingetrokken. Daarom wordt de CRL gebruikt. In de CRL staat vermeld welke certificaten zijn ingetrokken. Om volledig op een digitaal certificaat te kunnen vertrouwen moet niet alleen de geldigheidstermijn worden gecontroleerd, maar moet ook in de CRL worden gekeken of het certificaat niet ingetrokken is.

Cryptografie De techniek van het vercijferen/versleutelen, om de confidentialiteit van informatie te kunnen garanderen. Er worden altijd sleutels toegepast.

EESSI European Electronic Signature Standardisation Initiative, de organisatie die de eisen waaraan een CSP (Certification Service Provider) moet voldoen heeft vastgesteld.

ETSI European Telecommunications Standards Institute, de organisatie die samen met het CEN (Comité Européen de Normalisation) de technische normen en specificaties van certificaten vaststelt. Belangrijke ETSI-standaarden in het kader van deze studie zijn de ETSI-101456 standaard (vereisten van een certificatieautoriteit) en de ETSI TS-101733 standaard (XAdes, zie verder).

ETSI-101456 De standaard die de eisen te stellen aan een CA vastlegt. Naast techniek worden ook procedures beschreven.

Hash Het resultaat van een transformatie van een string van tekens in een normaliter kortere vaste lengte waarde, die een representatie is van de originele string. Wordt gebruikt om fouten of manipulatie in de overdracht te kunnen detecteren.

Non-repudiation (onweerlegbaarheid) Door het plaatsen van een elektronische handtekening kan een verzender nooit ontkennen dat hij/zij het bericht (of document) verstuurd heeft, met bijbehorende inhoud.

Phishing Phishing is een vorm van social engineering waarin een gebruiker wordt overgehaald om persoonlijke en privacy gevoelige informatie door te geven.

PKI Public Key Infrastructure. Beheer en management van certificaten, gebaseerd op asymmetrische cryptografie (public key cryptography).

173



Publieke en private sleutel Beide sleutels zijn onderdeel van de asymmetrische cryptografische versleuteling. Bij deze wijze van informatieversleuteling, zijn er twee verschillende sleutels die bij elkaar horen5 en die beiden, volgens het beoogde doel, kunnen gebruikt worden voor het versleutelen van informatie (encryptie) en voor het ontsleutelen van informatie (decryptie).

Groot voordeel van twee verschillende sleutels is dat één sleutel kan worden bekendgemaakt (publiek), zodat iedereen deze sleutel kan gebruiken om de data te lezen of te bewerken en één sleutel (privaat) die enkel toegankelijk is voor de eigenaar.

Beide sleutels kunnen gebruikt worden voor het versleutelen van informatie of voor het lezen van versleutelde informatie. Zo kan je bijvoorbeeld met je private sleutel een document versleutelen dat door een derde partij enkel kan gelezen (dus ontsleuteld) worden door je publieke sleutel. Anderzijds kan je ook informatie versleutelen met de publieke sleutel van iemand anders die deze versleutelde informatie dan enkel kan lezen (dus ontsleutelen) met zijn private sleutel6 (dit wordt gebruikt in een andere context, namelijk bij confidentialiteit, en dit is niet voorzien bij de eID).

De eID bevat de twee sleutelparen van de eigenaar: één voor authenticatie, en één voor de wettelijk geldige elektronische handtekening.

RSA Rivest Shamir Adleman, de namen van drie wetenschappers. Een methode voor en/decryptie van berichten op basis van een private sleutel en een publieke sleutel. De lengte van de sleutel in bits bepaalt hoe moeilijk het is om de versleuteling te kraken.

Server certificaat Een server certificaat wordt aan een webserver toegekend. De server kan zich hiermee op het Internet identificeren en gegevens, die met de server worden uitgewisseld kunnen beveiligd over het Internet getransporteerd worden middels het SSL protocol. Aangezien er een uitgebreide controle plaatsvindt voordat een server certificaat wordt uitgegeven heeft de verzender van de informatie naar de server een zeer grote mate van zekerheid, dat de informatie aankomt bij de server waarvoor de informatie bestemd is en niet bij een site die zich voordoet als die van iemand anders (spoofing). Door het SSL protocol weet de verzender dat alleen de houder van het servercertificaat de boodschap kan ontvangen en ontcijferen en dat de boodschap niet door derden is onderschept.

SHTTP Secure HTTP, de versie van HTTP met gegevensbeveiliging, speciaal bestemd voor e-commerce. Hierbij wordt onder andere cryptografie van RSA toegepast op het netwerkverkeer.

Single Sign On (SSO) Methode waarbij een gebruiker zich éénmaal authenticeert en waarbij het resultaat van de authenticatie binnen meerdere resources gebruikt kan worden.

Spoofing Het zodanig veranderen van adressen en/of identiteit, dat het lijkt, alsof deze uit een vertrouwde bron komen.

5 De publieke sleutel wordt gegenereerd aan de hand van de private sleutel maar laat niet toe dat via deze de private sleutel kan achterhaald worden.

6 Het gebruik van welke sleutel er moet gebruikt worden is voor de gebruiker geen probleem daar het de toepassing is die bepaalt welke sleutel er gebruikt wordt.

174

SSL Secure Sockets Layer (SSL) en Transport Layer Security (TLS) (zijn opvolger), zijn encryptie-protocollen die communicatie op het Internet beveiligen. Deze beide protocollen leveren door middel van cryptografie zowel authenticatie als een beveiligde verbinding met het Internet. Het doel van SSL is:

Om een betrouwbaar vertrouwelijk communicatiekanaal te verkrijgen Om de authenticiteit van communicerende applicaties vast te stellen

De achterliggende procedure verloopt als volgt: voordat een communicatie (bijvoorbeeld een e-commerce-transactie) in gang wordt gezet, verzendt de webserver het SSL-certificaat naar de browser van de bezoeker. Die browser analyseert het certificaat en controleert op echtheid. Na deze controle wordt versleuteling (encryptie) toegepast voor het veilig verzenden van communicatie- en transactiegegevens.

Ondanks het feit dat zowel SSL als TLS veiligheid kan bieden aan elk protocol dat gebruik maakt van TCP/IP, wordt SSL het meest gebruikt voor HTTPS, bijvoorbeeld ter beveiliging van kredietkaartgegevens. Indien men het gebruikt om HTTP te beveiligen, wordt het "http://" gedeelte in een URL vervangen door "https://", waarbij de s staat voor "secure".

Meestal wordt alleen de authenticiteit van de server gecontroleerd (door het controleren van het server certificaat), terwijl de client (gebruiker) onbekend blijft. Gebruikmakend van een “Authentication Reverse Proxy” is het ook mogelijk om gebruikers te authenticeren (door het controleren van een gebruikerscertificaat, bijvoorbeeld het authenticatie-certificaat op de eID).

Tokens In de ICT-context is een token een reeks cijfers of karakters die 'niet te verzinnen' is. Het persoonlijke token is specifiek toegewezen aan één persoon en dient ter authenticatie.

Een voorbeeld van een persoonlijk token is de pincode (persoonlijk identificatie nummer). De ons allen bekende reeks van vier cijfers die we moeten onthouden, en intikken op een geldautomaat bij het opnemen van geld is een voorbeeld van een token. De automaat leidt uit de gegevens op de pas af wie de klant zou moeten zijn, en authenticeert de klant door haar de pincode te vragen.

Een token mag dan niet te verzinnen zijn, het is wel te kopiëren of door bijvoorbeeld social engineering of bedreiging te bekomen. Wanneer een token statisch is zoals de pincode heeft een mogelijk onverlaat alle tijd om het token te achterhalen. Er zijn daardoor steeds meer systemen ontstaan om op lange termijn de veiligheid te garanderen. Tegenwoordig wordt vaak gebruik gemaakt van apparaatjes die een token genereren op het moment dat het nodig is. Deze apparaatjes zelf worden ook token genoemd.

Het kan een kaartje zijn met codes waarnaar gevraagd wordt, maar ook een speciaal tijdsgesynchroniseerd token. Het token zelf dient niet fysiek voor de authenticatie, maar toont op een LCD-schermpje een meercijferige code (wordt ook wel dynamisch paswoord of one-time-pasword genoemd) die na een bepaalde tijd verandert, bijv. om de minuut.

Voorbeelden van tokens

175



Het idee is dat een gebruiker een pincode plus die meercijferige tokencode gebruikt om in te loggen. De meercijferige tokencode is veilig omdat die bijvoorbeeld om de minuut verandert en dus niet nagemaakt kan worden en de bijkomende pincode garandeert dat de gebruiker is wie hij moet zijn.

De tokens gebruiken een speciaal ontworpen algoritme om om een bepaalde tijd een nieuwe unieke meercijferige code te berekenen. Het authenticatiesysteem heeft datzelfde algoritme aan boord en kan dus aan de hand van het identificatienummer van een token berekenen welke cijfercode momenteel zichtbaar is op het LCD-paneel van dat token.

TLS Transport Layer Security is encryptieprotocol op toepassingslaag (opvolger van SSL, Secure Socket Layer) en biedt beveiligde en geauthenticeerde Internetverbinding.

Trusted Third Party Trusted Third Party, de organisatie die zich bij elektronische transacties en berichtenverkeer opwerpt als onafhankelijke derde tussen betrokken partijen, en sleutels en certificaten afgeeft als bewijs van de authenticiteit van een transactie of een bericht.

Trojan horse Een computervirus dat het uiterlijk heeft van een onschuldig of nuttig programma, zoals een compressieprogramma of een virus-scanner, maar dat eenmaal gestart schade zal aanrichten.

X.509 De meest gebruikte standaard lay-out voor het opmaken van digitale certificaten.

XAdes XAdes definieert een XML formaat voor het toepassen van geavanceerde en gekwalificeerde elektronische handtekeningen, die voldoen aan de Europese richtlijn betreffende elektronische handtekeningen. De XAdes is een aanvulling op de al bestaande structuren om XML berichten te ondertekenen, zoals XMLDsig. XAdes is ook een ETSI-standaard namelijk ETSI TS-101733.

Meest gebruikte afkortingen CA (Certificate Authority): Certificatieautoriteit: instantie die het certificaat uitreikt

ID (Identity): Identiteit

176

OCSP (On line Certificate Status Protocol): Protocol waarmee de revocatiestatus van een certificaat snel (in real time) kan worden nagegaan.

PIN (Personal Identification Number): Privaat identificatienummer van de elektronische kaart.

PKCS (Public Key Cryptography Standards): Reeks specificaties uitgaande van RSA Standards gegevensbeveiliging.

PUK (Personal Unblocking Key): Activeringssleutel van de elektronische kaart.

RSA (Rivest, Shamir, Adleman):Asymmetrisch cryptografisch systeem uitgevonden door Rivest, Shamir en Adleman.

X.509 (Directory Authentication Framework): Gedetailleerde beschrijving van digitale certificaten en van het gebruik ervan

XML (eXtensible Markup Language): Internetstandaard voor de flexibele en logische opbouw van documentbestanden; het gebruik van XML maakt de informatie in de bestanden relatief eenvoudig toegankelijk.

177



Bijlage 2: Geconsulteerde bronnen

De volgende bronnen werden geconsulteerd (niet exhaustief):

Algemeen http://www.ibz.rrn.fgov.be/index.php?id=670&L=1

http://eid.startpagina.be/

Juridisch http://www.eid.belgium.be

http://www.ibz.rrn.fgov.be/

http://www.unizo.be/images/res153803_1.pdf

http://www.law.K.U.Leuven.ac.be/icri/david/C_Mag_digitaal_archiveren.php

http://www.law.K.U.Leuven.be/icri/publications/945artikel_TBH.pdf?where=

www.cass.be

http://www.lexlewis.be/thesis/thesis_eID_Alexander_Goossens.pdf

http://www.privacycommission.be/

http://www.certipost.be/dpsolutions/nl/e-timestamping-overview.html

www.standaard.be/archief


Technische context http://www.zurich.ibm.com/security/idemix/


http://www.lsec.be/

http://www.itprofessional.be/technology.cfm?id=81754

http://www.keytradebank.com/pdf/eID_nl.pdf

http://www.keytradebank.com/nl/support/faq/42/324

http://www.getronicspinkroccade.nl/

Economische context http://epp.eurostat.ec.europa.eu/

http://www.europa-nu.nl/9353000/1/j9vvh6nf08temv0/vh6tqk1kv3pv#p2

http://www.statbel.fgov.be/ict/

Internationaal http://digitaalbestuur.nl/magazine/europese-e-identiteitscrisis

http://app.ica.gov.sg/serv_citizen/identity_card/ic_registration.asp

http://www.ibz.rrn.fgov.be/index.php?id=670&L=1

http://eid.startpagina.be/


http://www.ibz.rrn.fgov.be/


http://www.law.K.U.Leuven.ac.be/icri/david/C_Mag_digitaal_archiveren.php

http://www.law.K.U.Leuven.be/icri/publications/945artikel_TBH.pdf?where=

http://www.cass.be

http://www.lexlewis.be/thesis/thesis_eID_Alexander_Goossens.pdf

http://www.privacycommission.be/

http://www.certipost.be/dpsolutions/nl/e-timestamping-overview.html

http://www.standaard.be/archief


http://www.zurich.ibm.com/security/idemix/


http://www.lsec.be/

http://www.itprofessional.be/technology.cfm?id=81754

http://www.keytradebank.com/pdf/eID_nl.pdf

http://www.keytradebank.com/nl/support/faq/42/324

http://www.getronicspinkroccade.nl/

http://epp.eurostat.ec.europa.eu/

http://www.europa-nu.nl/9353000/1/j9vvh6nf08temv0/vh6tqk1kv3pv#p2

http://www.statbel.fgov.be/ict/

http://digitaalbestuur.nl/magazine/europese-e-identiteitscrisis

http://app.ica.gov.sg/serv_citizen/identity_card/ic_registration.asp

178

http://www.spring.gov.sg/et/2008_01/index12.html

eID-toepassingen http://www.arena-solutions.be/nl/identification/eid/index.asp?p=3442

http://www.dsoft.be/Company/Pressreleases/022006-Dibrosi/022006.html

http://www.9lives.be/forum/showthread.php?t=543211&page=4

http://www.windowsvistamagazine.be/

Case studies http://www.ethias.be/cqpf.go?pg=CPIF110&cqp=57

https://www.seniorennet.be/eID-beta/eid_help_samengevat.php

http://www.bondbeterleefmilieu.be/milieuopdekaart/

http://www.certipost.be/certipost/nl/index.php?option=com_content&task=view&id=96&Itemid=54

http://www.digitale-televisie.be/modules/news/article.php?storyid=212

http://www.theweblog.be/?p=337

Wetenschappelijk onderzoek http://www.cosic.esat.kuleuven.be/adapid/

http://allserv.kahosl.be/projecten/eidea/index.php?page=commissie

Varia www.wikipedia.be

http://www.dis-institute.com/pers/DISpersmap14032006.pdf

http://www.spring.gov.sg/et/2008_01/index12.html

http://www.arena-solutions.be/nl/identification/eid/index.asp?p=3442

http://www.dsoft.be/Company/Pressreleases/022006-Dibrosi/022006.html

http://www.9lives.be/forum/showthread.php?t=543211&page=4

http://www.windowsvistamagazine.be/

http://www.ethias.be/cqpf.go?pg=CPIF110&cqp=57

https://www.seniorennet.be/eID-beta/eid_help_samengevat.php

http://www.bondbeterleefmilieu.be/milieuopdekaart/

http://www.certipost.be/certipost/nl/index.php?option=com_content&task=view&id=96&Itemid=54

http://www.digitale-televisie.be/modules/news/article.php?storyid=212

http://www.theweblog.be/?p=337

http://www.cosic.esat.kuleuven.be/adapid/

http://allserv.kahosl.be/projecten/eidea/index.php?page=commissie

http://www.wikipedia.be

http://www.dis-institute.com/pers/DISpersmap14032006.pdf

179



Bijlage 3: Lijsten gecontacteerde personen

Hieronder volgen de lijsten van alle gecontacteerde instellingen, organisaties en bedrijven.

Leden van de stuurgroep:

Organisatie – Afdeling Persoon

FOD Economie - Telecommunicatie en informatiemaatschappij Daniel Totelin, Pierre Strumelle en Séverine Waterbley

FOD Economie - Regulering en Organisatie van de markt Fabrice De Patoul en Didier Gobert

FOD Economie - KMO-Beleid Gert Lievens en Hervé Lasne

FOD Economie - Kwaliteit en Veiligheid Jean-François Petit en Dirk Leroy

FOD Economie - Controle en Bemiddeling Cécile Coppin en Luc Deschouwer

Overheidsdiensten:


Fedict Hugues Dorchy en Peter Strickx

FOD Binnenlandse Zaken - Rijksregister Joachim Van Eyck en René Wauters

FOD Binnenlandse Zaken – Instellingen en bevolking Luc Smet

Kanselarij van de Eerste Minister (DAV) Dannie Goossens

FOD Sociale Zekerheid - Kruispuntbank Frank Robben

Onderzoek aan universiteiten, hogescholen en onderzoekscentra:


ICRI (KUL) Jos Dumortier

Distrinet KUL (eIDea en adapID) Bart De Decker, Kristof Verslype en Pieter Verhaeghe

COSIC (KUL) Danny De Cock

CRID (Namur) Yves Poullet en Etienne Montero

CETIC (Charleroi) Robert Viseur

WiCA Universiteit Gent (iDTV) Luc Martens, Tom Deryckere en Kris Vanhecke

KaHo St.-Lieven Gent (eIDea) Vincent Naessens en Jorn Lapon

KaHo St.-Lieven Gent (thesisstudenten) Jannes Verstichel, Lander Dufour, Bram Verdegem en Thibaut Van Sinay

180

Gecontacteerde gebruikers van eID-toepassingen:


Universiteit Gent Jurgen Lust

K.U.Leuven Griet Lemmens en Martijn Waeyenbergh

De Oesterbank Oostende Nico Laridon

Mobiel vzw Kortrijk Stijn Tyteca

Cultuurcentrum Ter Dilft Bornem Hugo De Pauw

Andere actoren:


Unizo Ian De Ruyver en Johan De Neef

KMO-IT (Unizo) Lieven Vandevelde en Erwin Buggenhoudt

AWT Luc Simons

Infopole Cluster TIC Thierry Villers

Technofutur TIC Pierre Lelong

VBO Jeroen Langerock

BVB (Belgische Vereniging van Banken) Patrick Wynant

Agoria Patrick Slaets

Christelijke Mutualiteit Roel Guldemont

Isabel Christian Luyten

KFBN (notariaat) – REAL-kaart Pieter Boone, Jan Biets en Kris Jehaes

eBay Tanja De Coster

Ethias Arnould Daenen

Bond Beter Leefmilieu (e-portemonnee) Johan Niemegeers

Limburg.net (e-portemonnee) Kris Somers

Privacy Commissie Jos Dumortier

TestAankoop Fabienne Maes

OIVO (Onderzoeks- en Informatiecentrum v/d VerbruikersOrganisaties) Adriaan Meirsman

VVSG (Vereniging van Steden en Gemeenten) Herman Callens

Child Focus Dirk Depover en Tom Van Renterghem

181



Producenten van eID-applicaties:

Bedrijf Persoon

4allNetworks Patrick Coomans

Adobe Peter Van Den Broecke

AgileSoft Michiel Scharpé

Alcatel Jan Dheedene

Apple (Mac) Yves Van Den Broek

Approach Marc Stern

Aqsys Jean Mangez

Arcabase Herman Van Looveren

Ardatis Steven Vanderaspoilden

Arena Solutions Johan Devriendt en Frans Cools

ArrowUp Jean De Coster

Ask Stéphane Corteel en Alain Loyens

Axima Max Frazelle en Julio Ogazon

BSYS Eddy Van Hoeferlande

Captor (Kronos) Marnix Coenaerts en Alain Demarcke

CCV Cardfon Bram Soete en Hans Tjolle

Cegeka Erwin Nouwen

Certipost Patrick Van Hoorde en Guy Ramlot

Ciges Rudy Simons

D Soft Frank De Langhe

the eID Company Hugues Dorchy

EM Group Peter Vanhuffel

Eutronix Philippe Clement en Olivier Jamar

Gemplus - Gemalto Philippe Inserra en Pierre Heinrichs

Hewlett-Packard Guy Van Hees

IBM – Global Business Solutions Karl De Backer

Imprivata Rik Van Bruggen

Ineo (Mercator) Olivier Billa

Intel Kurt De Buck

Intesi Hans Van Es

Invemaco (Efficy) Cédric Pierrard

Lenovo Danny Amelryckx

182

Bedrijf Persoon

LSEC (Leuven Security) Ulrich Seldeslachts

Lithium ICT Christophe Van Durme

Mainsys Gauthier Storm

Microsoft Gaspar Bauden en Ronny Bjones

Multiprox Michel Willegems

myFMbutler Luc Dhondt

Netdirect Robert Hellemans

Nisus Gert Buys

NRB (Network Research Belgium) Philippe Willems

Ometa (Microsoft SharePoint eID) Luc Deleu

Oracle Antonio Mata Gomez

Portima Claude Rapoport

Planet Winner Dirk Leysen

Pronoia Jeroen Bekaert

RoadByte Mathias Vercruysse

SAP Baudouin Urbain

SEALED Olivier Delos

Siemens Philippe Huysman

Steria Eric Stylemans

Sun Rudy Van Hoe

Sun Solutions Christophe Bauwens

Telindus Henk Den Baes

Time Solutions Christophe Bauwens

Vasco Frank Coulier en Jo Mellemans

Vsecurity (Registr8) Marc Zimmerman

XLN-t Guido De Cuyper en Kurt Sterckx

Zetes Rudi De Bie

183



Hieronder volgt de lijst van het team van IBM dat aan dit project meegewerkt heeft :

Team IBM:

Nom Fonction

Bernard Bouttefeux Projectdirecteur

Friedl Maertens Projectcoördinator

Natasja Van Bijlen Consultant

Nathalie Matthijs Consultant

Yorick Cool Expert

Bernard Van Acker Expert

Karl De Backer Expert

Brigitte Van Den Eynde Expert

184

Bijlage 4: Enkele belangrijke certificatieautoriteiten

In deze bijlage worden enkele belangrijke certificatieautoriteiten besproken.

Certipost Certipost is de leverancier in België van gekwalificeerde certificaten voor de Belgische eID. Certipost treedt hier op als Certification Service Provider voor de Belgische eID.

Gekwalificeerde certificaten voldoen aan de in de wetgeving voorgeschreven vereisten (o.a. de wet van 9 juli 2001 betreffende de vaststelling van bepaalde regels in verband met het juridisch kader voor elektronische handtekeningen en certificatiediensten). De belangrijkste kenmerken van een gekwalificeerd certificaat zijn:

Er gebeurt een controle door de overheid.

Alle stappen van het certificatieproces worden gevolgd, zoals voorzien in de wetgeving.

De certificaten kunnen gelinkt worden aan een wettelijke elektronische handtekening (volledig gelijkwaardig met de schriftelijke handtekening)

Certipost biedt, naast het aanmaken van certificaten op de eID, ook diensten aan waaronder het leveren van certificaten op naam van bedrijven en het aanbieden van een e-communicatieplatform waar bedrijven onderling elektronische documenten kunnen uitwisselen. Deze certificaten zijn dan niet gelinkt aan de natuurlijke persoon maar wel aan de functie die men uitoefent in een bedrijf.

GlobalSign GlobalSign is een certificatieautoriteit met wereldwijde erkenning. Het verleent verschillende soorten digitale certificaten waaronder persoonlijke certificaten. Om een persoonlijk certificaat van klasse 3 te verkrijgen moet men zich aanmelden bij een Local Registration Authority. In België vervult de overheid deze rol van LRA.

Anderzijds is de Belgische Root CA een selfsigned Certificaat dat erkend wordt door GlobalSign.

Het GlobalSign root certificaat is standaard ingebed in een aantal webbrowsers zoals Explorer, Firefox, enz., en dus wordt hierdoor impliciet de Belgische Root CA erkend als een valabel certificaat. Dit laat toe om de link te leggen met beveiligde websites en applicaties zonder dat de eindgebruiker gestoord wordt door vervelende en verontrustende pop-up boodschappen.

Naast persoonlijke certificaten verleent GlobalSign ook certificaten aan webservers en applicaties. Dit is belangrijk voor de beveiliging bij het uitwisselen van informatie in de context van e-business. ServerSign, het beveiligde servercertificaat van GlobalSign, staat garant voor de identiteit en de eigendom van een internetdomeinnaam en garandeert vertrouwelijke communicatie tussen een webserver en de aangesloten gebruikers/klanten. ServerSign-certificaten, verkrijgbaar voor één, twee of drie jaar, worden in de hele wereld aanvaard.

GlobalSign geeft sublicenties uit aan andere bedrijven (o.a. aan Adobe), die licenties getekend door GlobalSign kunnen verkopen.

VeriSign VeriSign is één van de grootste aanbieders van digitale certificaten – VeriSign SSL-certificaten – voor het beveiligen van websites en elektronische transacties. Een website die beveiligd is met een VeriSign SSL-certificaat is te herkennen aan het VeriSign Secure Site-Seal (zegel). De meest voorkomende toepassingen van VeriSign SSL-certificaten zijn:

185



Het beveiligen van e-commerce websites: bezoekers van dergelijke websites hebben zekerheid over de authenticiteit van de site en de vertrouwelijkheid van de informatie die versleuteld wordt uitgewisseld. Het beveiligen van server-to-serververkeer, bijvoorbeeld tussen webservers en e-mailservers: servers communiceren op die manier geheel automatisch op beveiligde wijze met elkaar, via geauthenticeerde en versleutelde verbindingen. Het beveiligen van internetdiensten met SSL (Secure Sockets Layer): daarbij kan het gaan om een groot aantal internetservices/-protocollen, zoals POP, SMTP en IMAP voor email, FTP voor filetransfers en zelfs SSL-VPN’s.

VeriSign geeft sublicenties uit aan andere bedrijven, die licenties getekend door VeriSign kunnen verkopen. In België en Nederland is dat o.a. mogelijk bij Getronics PinkRoccade. VeriSign treedt op als Root CA voor de certificaten van de REAL-kaart van de notarissen (zie case study REAL).

Getronics Pinkroccade Getronics PinkRoccade is een dienstverlenend bedrijf in de ICT-branche, en is ontstaan in 2005 uit de overname van PinkRoccade door Getronics.

Getronics PinkRoccade treedt op als CSP (Certification Service Provider) voor de uitgifte van certificaten door de rijksoverheid in Nederland en als certificatieautoriteit voor de certificaten van de REAL-kaart van de notarissen in België (zie case study REAL-kaart).

Certificatieautoriteiten in specifieke domeinen Er bestaan ook certificatieautoriteiten in specifieke domeinen, bijvoorbeeld in de banken verzekeringswereld.

Bankwereld: Isabel

Isabel werkt reeds tientallen jaren met een smartcard - de Secure Signing Card - met paswoord waarbij ook het PKI-systeem wordt gebruikt (dus ook met een private en publieke sleutel gegarandeerd door certificaten). Isabel levert de digitale Isabel-certificaten waarmee digitale handtekeningen kunnen worden aangemaakt en gecontroleerd. In het kader van het Isabel-contract heeft de digitale handtekening dezelfde waarde als een handgeschreven handtekening. Isabel treedt dus op als certificatieautoriteit en CSP.

Verzekeringswereld: Portima

Portima is een informaticabedrijf dat bouwt aan een omgeving waarin verzekeringsmakelaars en -maatschappijen snel en veilig zaken kunnen doen. Via de certificeringswebsite van Portima (Port-e-Key) kunnen certificaten worden besteld en beheerd. Portima treedt dus op als certificatieautoriteit (van hun eigen systeem). Deze certificaten kunnen dan gebruikt worden in de software die door Portima aangeboden wordt.

Voor het inloggen kan ook de eID gehanteerd worden. Dit is dus een voorbeeld van een toepassing waar je zowel de certificaten van de eID als de certificaten van het bedrijf kan aanwenden.

186

Bijlage 5: Vragenlijst workshops ondernemers

Onderstaande vragenlijst werd gebruikt voor de bevraging van de ondernemers.

Vragenlijst over de eID

Algemene gegevens van uw onderneming

Korte beschrijving van uw onderneming

Aantal werknemers

Sector waarin u actief bent


Plannen voor uitbreiding, status quo of inperking?

International of lokale activiteiten?

Ja Neen

Beschikt u zelf al over een eID-kaart?

Kent u de drie volgende basisfuncties van de eID-kaart goed of niet goed? Goed Niet goed

a) Identificatie (inlezen van gegevens die op de eID-kaart staan, zonder pincode)

b) Authenticatie (effectief bewijzen wie u bent wanneer u een digitale transactie uitvoert, met pincode)

c) Digitale handtekening (u akkoord verklaren met gegevens op een digitaal document, met pincode)

De eID voor persoonlijk gebruik

Zou u uw eID laten inlezen als men het vraagt? (bijvoorbeeld bij de apotheker, bij het huren van een fiets) of zelf gebruiken voor bijvoorbeeld een beveiligde toegang tot een website (bijvoorbeeld voor uw bankzaken)? Waarom wel? Waarom niet? Onder welke voorwaarden? Wat zijn uw bezorgdheden?

187



De eID voor professioneel gebruik

Denkt u eraan om de eID te gebruiken in uw bedrijfsvoering? (noteer aub ook indien u het reeds gebruikt) Waarvoor zou u het gebruiken? Waarom wel? Waarom niet? Onder welke voorwaarden? Wat zijn uw bezorgdheden?

Zou u het eerder gebruiken voor B2B (bijv. met leveranciers) of voor B2C (bijv. met eindgebruikers)? Kan u uw antwoord verduidelijken?

Wat zijn volgens u de grootste hinderpalen voor bedrijven om diensten aan te bieden waarbij gebruik gemaakt wordt van de eID-kaart? Geef een score: 1=weinig hinder 2=matige hinder 3=grote hinder 4=zeer grote hinder

1

2

3

4



Er is een gebrek aan een duidelijk juridisch kader van de eID (juridische onduidelijkheid).


Met een elektronische identiteitskaart kan men niet in de hoedanigheid van een functie binnen een bedrijf een juridisch geldige elektronische handtekening plaatsen.

Men moet beschikken over alle tools: een kaartlezer, kaartlezersoftware, middleware, applicaties, enz. en deze zijn niet standaard aanwezig op de computer.

De bescherming van de privacy en de veiligheid kan nog niet voldoende worden gegarandeerd.




De toepassingen voor de elektronische identiteitskaart zijn te duur, vergen een te grote investering.

Bedrijven hebben vaak al geïnvesteerd in een ander systeem (bijvoorbeeld met bedrijfsbadges).


188

Andere redenen? Reden 1: .............................................................................................................................................. Reden 2: .............................................................................................................................................. Reden 3: ..............................................................................................................................................

In hoeverre bent u het eens met de volgende stellingen? 1=volledig oneens 2=oneens 3=eens noch oneens 4=eens 5= volledig eens

1

2

3

4

5

Het registreren van persoonlijke gegevens via de elektronische identiteitskaart leidt tot minder fouten en onnauwkeurigheden.







Het voordeel van het gebruik van de elektronische identiteitskaart bij e-commerce is dat de identiteit van de verkoper en de koper bekend is zodat de transactie in meer vertrouwen kan gebeuren.

Heeft u zelf nog ideeën voor nuttige toepassingen van de elektronische identiteitskaart?

Idee 1:

Idee 2:

Idee 3:

189



Bijlage 6: Bespreking van enkele mobiele eID-toestellen

Enkele mobiele toestellen waarbij software en hardware werden geïntegreerd:

IDWatcher (XLN-t): dit is een draagbaar toestel op batterij, om de publieke inhoud van een eID kaart op een LCD scherm af te lezen.

Mobiele eID-lezer (Vasco): dit is een draagbare eID-kaartlezer voor het lezen van de eID-gegevens.

Police Mate Xi-Max (Arena Solutions): dit is een draagbare eID-kaartlezer voor het lezen van de eID-gegevens.

Police Mate Xi-Plus3 (Arena Solutions) : dit is een draagbare eID-kaartlezer die de gegevens van maximum 500 identiteitskaarten kan opslaan en die kan ingeplugd worden in een computer voor een verificatie van de gegevens.

Xi-Pass (Arena Solutions): dit is een toestel met authenticatiefunctie (ingeven van de pincode) dat de gegevens van de eID-kaart kan lezen.

eID Digipass (Vasco): dit toestel wordt geactiveerd met de eID. Er wordt een paswoord gecreëerd (éénmalig) waarmee je kan inloggen op je computer. Er is dus geen connectie tussen de eID en de computer en er is ook geen middleware op de computer nodig, de middleware is namelijk geïntegreerd in de Digipass.

eID Digipass voor blinden en slechtzienden (Vasco): deze Digipass is uitgerust met spraaktechnologie zodat het kan gebruikt worden door blinden en slechtzienden.

190

Bijlage 7: Fiches van eID-toepassingen

In deze bijlage zijn fiches van eID-toepassingen opgenomen van:

eID-componenten

eID-applicaties

eID geïntegreerd in softwarepakketten

eID mobiele toestellen

Waarschuwing

Deze lijst is niet exhaustief en wordt geheel vrijblijvend ter informatie aangeboden. IBM en de FOD Economie spreeken zich op geen enkele manier uit over de waarde van de eID-toepassingen die door deze bedrijven worden aangeboden – en evenmin over de waarde van eID-toepassingen van bedrijven die niet in deze lijst zouden voorkomen.

IBM noch de FOD Economie nemen enige verantwoordelijkheid voor de bedrijven die in deze lijst zijn opgenomen.

191



eID-componenten IDGetter (component)

Beschrijving: elektronische module om publieke gegevens van een eID kaart te lezen en gegevens uit te

sturen naar een niet-PC toestel zoals acces controle toestellen, verkoopautomaten en dergelijke Interactie: ter plaatse: automaat Domein: algemeen Toekomst-plannen:

versie in metalen behuizing voor muurmontage

Functionaliteit: identificatie (zonder pincode) Ontwikkelaar: XLN-t www.xln-t.be Hoogstraat 52, 2580 Beerzel (Putte) 015/24.92.43 Kurt Sterckx (programmeur)

Guido De Cuyper (zaakvoerder) [email protected] Belangrijkste voordeel:

tijdsbesparing + correctheid van de identiteitsgegevens + interface stand-alone toestel, geen PC nodig eenvoudig in te bouwen emulatie van Wiegand / RS232 / Magnetic card readers

Andere voordelen:

firmware updatable door field technieker Garanties:

Kostprijs: 86,5€ (1stuk) tot 46,67€ (100 stuks) Bijkomende kosten:

voeding 12V DC te voorzien door automaat/ access systeem Voorwaarden:

http://www.xln-t.be


192

IDagechecker (component) Beschrijving: elektronische module om publieke gegevens van een eID kaart of SIS kaart te lezen en

afhankelijk van de leeftijd 1 of 2 uitgangen aan te sturen, met een instelbare tijd en leeftijdsgrenzen - te gebruiken voor bijv. sigarettenverkoopautomaten

Interactie: ter plaatse: automaat Domein: algemeen Toekomst-plannen:

in plaats van de leeftijd te checken kan bijv. ook de gemeente worden gecheckt (bijv. voor toepassingen die enkel geldig zijn in een bepaalde gemeente)



tijdsbesparing + correctheid van de identiteitsgegevens + veiligheid (leeftijd checken) stand-alone toestel, geen PC nodig eenvoudig in te bouwen directe sturing van 2 uitgangen, zonder externe berekeningen RS232 uitgang optioneel apart LCD display 3 lijnen met leeftijd informatie

Andere voordelen:

firmware updatable door field technieker Garanties:

Kostprijs: Bijkomende kosten:

Voorwaarden:

http://www.xln-t.be


193



Arena Solutions eID reader (component) Beschrijving: lezen van eID-gegevens en opslaan als velden die gebruikt kunnen worden in applicaties Interactie: ter plaatse: via computer ter plaatse: face-to-face Domein: algemeen Toekomst-plannen:

Functionaliteit: identificatie (zonder pincode) Ontwikkelaar: Arena Solutions www.arena-solutions.be Horizonpark Zone 2, Leuvensesteenweg 510 bus 8, 1930 Zaventem 02/609.52.22 Frans Cools (project manager) [email protected] Belangrijkste voordeel:

tijdsbesparing + correctheid van de identiteitsgegevens snel inlezen en verwerken van de data van de eID-kaarten interface naar bestaande software (scholen, organisaties)

Andere voordelen:

Garanties:

Kostprijs: 15€ (combinatiepakket met kaartlezer: 29€) Bijkomende kosten:

geen Voorwaarden:

http://www.arena-solutions.be


194

RoadByte eID View (component) Beschrijving: publieke gegevens van de eID op het scherm tonen (in ongeveer 1 seconde) met mogelijkheid tot

kopiëren en plakken van de gegevens naar andere applicaties en printen van de gegevens Interactie: ter plaatse: via computer ter plaatse: face-to-face Domein: algemeen Toekomst-plannen:

integratie met SIS-kaart is reeds gebeurd - integratie met andere kaarten (bijv. VISA-kaart of buitenlandse eID-kaarten) volgt nog

Functionaliteit: identificatie (zonder pincode) Ontwikkelaar: RoadByte www.roadbyte.be Ganzenstraat 9, 8000 Brugge 0486/ 82.95.89 Mathias Vercruysse [email protected] Belangrijkste voordeel:

tijdsbesparing + extra mogelijkheden zeer snel bekijken en afdrukken van gegevens makkelijk te installeren ondersteunt meerdere aangesloten kaartlezers werkt met alle kaarten die het RoadByte eID Framework kan lezen geen middelware vereist van de overheid

Andere voordelen:

gegevens kunnen geplakt worden in andere programma's

Garanties:

Kostprijs: 15€ Bijkomende kosten:

standaard versie van RoadByte eID Framework is inbegrepen (de professional versie kost 59€) (gratis) installatie van RoadByte eID Framework Voorwaarden:

http://www.roadbyte.be


195



.be Card SDK (component) Beschrijving: integreren van publieke gegevens van de eID-kaart en publieke en private gegevens van de SIS-

kaart (SDK staat voor Software Development Kit) Interactie: ter plaatse: via computer ter plaatse: face-to-face Domein: medisch Toekomst-plannen:

toevoeging van andere Europese eID-kaarten (Portugal, Nederland, Frankrijk, Denemarken, UK,…)

Functionaliteit: identificatie (zonder pincode) Ontwikkelaar: ArrowUp www.arrowup.be Bijenstraat 12, 9051 Sint-Denijs-Westrem 09/382.00.82 Jean De Coster [email protected] Belangrijkste voordeel:

tijdsbesparing + integratie van systemen (eID en SIS) patiëntgegevens worden snel, nauwkeurig en geïntegreerd opgeslagen makkelijk te installeren compatibel met alle courante softwarepakketten

Andere voordelen:

kaartlezer gehomologeerd door Kruispuntbank Soc. Zek. Garanties:

Kostprijs: 1250€ (installatie-CD + USB Smart Card dongle en reader)

Bijkomende kosten:

licentie voor 3 jaar per gebruiker Voorwaarden:

http://www.arrowup.be


196

.be Card SDK Professional (component) Beschrijving: integreren van publieke gegevens van de eID-kaart, publieke en private gegevens van de SIS-

kaart en gegevens van de tachograafkaart (gebruikerskaart) l(SDK staat voor Software Development Kit)

Interactie: ter plaatse: via computer ter plaatse: face-to-face Domein: algemeen Toekomst-plannen:

toevoeging van andere Europese eID-kaarten (Portugal, Nederland, Frankrijk, Denemarken, UK,…) mogelijke toekomstige doelgroepen: interimkantoren, HR-departementen enz.


tijdsbesparing + integratie van systemen (eID, SIS en tachograafkaart) makkelijk te installeren compatibel met alle courante softwarepakketten

Andere voordelen:

Garanties:

Kostprijs: 1250€ (installatie-CD + USB Smart Card dongle en reader)

Bijkomende kosten:

licentie voor 3 jaar per gebruiker Voorwaarden:



197



eID Development Kit (component) Beschrijving: deze development kit bestaat uit een aantal eID-testkaarten, toegang tot de validatiediensten

voor certificaten, een set aan hulpmiddelen (o.a. source codes) en een eID-kaartlezer (er zijn meerdere varianten van deze development kit te verkrijgen).

Interactie: ter plaatse: via computer van op afstand (online) Domein: algemeen Toekomst-plannen:

Functionaliteit: identificatie (zonder pincode) authenticatie (met pincode) elektronische handtekening Ontwikkelaar: Zetes & Certipost www.certipost.be Clinton Park

Ninovesteenweg 196 9320 Erembodegem (Aalst)

053/60.11.11 Gyu Ramlot

(senior project manager eID) [email protected] Belangrijkste voordeel:

alles wat nodig is om uw organisatie eID-compatibel te maken volledige set aan hulpmiddelen toegang tot validatiediensten voor certificaten testkaarten met verschillende status (ook kaart voor minderjarigen)

Andere voordelen:

Garanties:


Voorwaarden:

http://www.certipost.be


198

RoadByte eID Outlook (component) Beschrijving: contactinformatie (naam en adres) van de eID automatisch toevoegen in Microsoft Outlook Interactie: ter plaatse: via computer Domein: algemeen Toekomst-plannen:



tijdsbesparing + extra mogelijkheden snel inlezen van gegevens makkelijk te installeren ondersteunt meerdere aangesloten kaartlezers werkt met alle kaarten die het RoadByte eID Framework kan lezen geen middelware vereist van de overheid

Andere voordelen:

volledig automatisch, geen manuele tussenkomst vereist

Garanties:





199



RoadByte eID Xml (component) Beschrijving: eID gegevens exporteren naar een XML bestand in een opgegeven folder (de foto kan ook

geexporteerd worden naar een JPG bestand) Interactie: ter plaatse: via computer Domein: algemeen Toekomst-plannen:



tijdsbesparing + extra mogelijkheden werkt supersnel makkelijk te installeren ondersteunt meerdere aangesloten kaartlezers werkt met alle kaarten die het RoadByte eID Framework kan lezen geen middelware vereist van de overheid

Andere voordelen:

volledig automatisch, geen manuele tussenkomst vereist

Garanties:





200

RoadByte eID Word (component) Beschrijving: vooraf gedefinieerde velden in een Word-document automatisch laten invullen met gegevens van

de eID Interactie: ter plaatse: via computer Domein: algemeen Toekomst-plannen:



tijdsbesparing + extra mogelijkheden snel inlezen van gegevens makkelijk te installeren ondersteunt meerdere aangesloten kaartlezers werkt met alle kaarten die het RoadByte eID Framework kan lezen geen middelware vereist van de overheid

Andere voordelen:

werkt met Word documenten of templates

Garanties:





201



RoadByte eID FileMaker Plugin (component) Beschrijving: publieke gegevens van de eID inladen in Filemaker databases (elk kaartgegeven is beschikbaar

als een veld) Interactie: ter plaatse: via computer Domein: algemeen Toekomst-plannen:




Andere voordelen:

compatibel met Filemaker 7, 8, 8.5 en 9 Garanties:





202

myFMbutler eID plug-in (component) Beschrijving: publieke gegevens van de eID inladen in Filemaker databases (elk kaartgegeven is beschikbaar

als een veld) Interactie: ter plaatse: via computer Domein: algemeen Toekomst-plannen:

Functionaliteit: identificatie (zonder pincode) Ontwikkelaar: myFMbutler www.myfmbutler.com Eksterstraat 22a, 9881 Aalter-Bellem 0497/ 55.00.00 Luc Dhondt [email protected] Belangrijkste voordeel:

tijdsbesparing + extra mogelijkheden

Andere voordelen:

Garanties:

Kostprijs: vanaf 59€ Bijkomende kosten:

geen FileMaker Pro 7, 8 of 9 op Windows 2000, XP of Vista Voorwaarden: Mac OS X ondersteuning voorzien voor 2008

http://www.myfmbutler.com


203



eID-applicaties eID reading (eID-applicatie)

Beschrijving: lezen van publieke gegevens van de eID en opslaan van de gegevens in een MS Access

database Interactie: ter plaatse: face-to-face Domein: algemeen Toekomst-plannen:



tijdsbesparing correctheid van de gegevens eenvoudig in gebruik goedkoop

Andere voordelen:

Garanties:

Kostprijs: optie 1: 100€ (met cardman eID-lezer) optie 2: 125€ (met Cherry toetsenbord met eID-reader)

Bijkomende kosten:

geen Voorwaarden:



204

eID capture & print (eID-applicatie) Beschrijving: lezen en printen van publieke gegevens van de eID Interactie: ter plaatse: face-to-face Domein: algemeen Toekomst-plannen:



tijdsbesparing correctheid van de gegevens eenvoudig in gebruik goedkoop

Andere voordelen:

Garanties:

Kostprijs: optie 1: 100€ (met cardman eID-lezer) optie 2: 125€ (met Cherry toetsenbord met eID-reader)

Bijkomende kosten:

geen Voorwaarden:



205



.be eID Registration (eID-applicatie) Beschrijving: registratie van de eID-gegevens van bezoekers (+ vermelding tijdstip bezoekuur, duurtijd bezoek,

contactpersoon, enz,) + eventueel afdrukken bezoekersbadge + mogelijkheid tot inscannen met barcodelezer

Interactie: ter plaatse: face-to-face Domein: algemeen Toekomst-plannen:

toevoeging van andere Europese eID-kaarten (Portugal, Nederland, Frankrijk, Denemarken, UK,…) + functionaliteiten voor netwerk en RFID


tijdsbesparing + extra mogelijkheden efficiënt beheer en rapportering mogelijk geen andere software (bijv. MS Office) nodig eenvoudig te installeren badges kunnen gepersonaliseerd worden (bijv. logo) real-time controleren wie er in het gebouw is

Andere voordelen:

zowel personeel als bezoekers zelf kunnen registratie uitvoeren

Garanties:

Kostprijs: 649€ (installatie-CD + Cherry toetsenbord met eID-reader + badgeprinter met toebehoren + badgehouders met clip)

Bijkomende kosten:

optioneel: barcode lezer: 150€ Windows 2000 (en hoger) Voorwaarden:



206

Arena Bezoekersregistratie (eID-applicatie) Beschrijving: registratie van de eID-gegevens van bezoekers (+ vermelding tijdstip bezoekuur, duurtijd bezoek,

contactpersoon, enz,) + afdrukken bezoekersbadge + manueel toevoegen van andere gegevens Interactie: ter plaatse: face-to-face Domein: algemeen Toekomst-plannen:


tijdsbesparing + extra mogelijkheden automatisering van de registratie correctheid van de gegevens badges kunnen gepersonaliseerd worden (bijv. logo) zowel personeel als bezoekers zelf kunnen registratie uitvoeren

Andere voordelen:

Garanties:


hardware (printer + kaartlezer) Voorwaarden:



207



.be Guest (eID-applicatie) Beschrijving: registratie van eID-gegevens van hotelgasten (+ datum/tijd van aankomst en vertrek) + eventueel

afdrukken hotelfiche Interactie: ter plaatse: face-to-face Domein: horeca Toekomst-plannen:



tijdsbesparing + extra mogelijkheden correctheid van de gegevens mogelijkheid tot genereren van rapporten geen andere software (bijv. MS Office) nodig gasten zonder eID makkelijk toe te voegen

Andere voordelen:

conform nieuwe reglementering betreffende digitale hotelfiche Garanties:

Kostprijs: 249€ (installatie-CD + Cherry toetsenbord met eID-reader)

Bijkomende kosten:

geen Windows 2000 (en hoger) Voorwaarden:



208

RoadByte eID Hotel (eID-applicatie) Beschrijving: software pakket voor reservatie en dagelijks management van een hotel Interactie: ter plaatse: face-to-face Domein: horeca Toekomst-plannen:



tijdsbesparing + extra mogelijkheden efficiënt en snel meerdere functionaliteiten (reserveren, inchecken, afdrukken van kasticketten, overzicht) ondersteunt meerdere aangesloten kaartlezers werkt met alle kaarten die het RoadByte eID Framework kan lezen geen middelware vereist van de overheid

Andere voordelen:

Garanties:

Kostprijs: nog geen prijs bepaald Bijkomende kosten:




209



Winner (eID-applicatie) Beschrijving: geïntegreerd management systeem voor hotels, conferentiecentra en restaurants met behulp van

de eID voor opzoeken reservering gasten, registreren gasten, actualiseren van de gegevens, aanmaken van een klantenfiche, betaling in hotelrestaurant en aanmaken van de factuur

Interactie: ter plaatse: face-to-face Domein: horeca Toekomst-plannen:

in de toekomst zal de eID ook kunnen gebruikt worden voor authenticatie - met pincode - en elektronische handtekening, bijv. voor reserveringen via het Internet

Functionaliteit: identificatie (zonder pincode) Ontwikkelaar: Planet wInner www.planet-winner.eu Bossuytlaan 49, 8310 Brugge 050/ 54.29.70 Dirk Leysen - General Manager

[email protected] [email protected] Belangrijkste voordeel:

tijdsbesparing + integratie + extra mogelijkheden mogelijkheid tot genereren van rapporten geïntegreerd systeem (hotelreceptie, hotelrestaurant, boekhouding,…)

Andere voordelen:

Microsoft Certified for Windows Garanties:

Kostprijs: rond de 5000€ (volledig pakket, alles inbegrepen, incl. opleiding) Bijkomende kosten:

Windows met compatibele kaartlezer (bijv. Zetes of Cherry) Voorwaarden:

http://www.planet-winner.eu



210

BSYS Fitness Ledenbeheer (eID-applicatie) Beschrijving: ledenbeheer en beheer van abonnementen via de eID (toegangscontrole gebeurt via aparte

lidkaarten met barcode omdat dit sneller gaat dan via de chip van de eID en minder kans op slijtage)

Interactie: ter plaatse: face-to-face ter plaatse: via automaat Domein: fitness- en sportcentra Toekomst-plannen:

online reserveringen en betalingen via de eID

Functionaliteit: identificatie (zonder pincode) Ontwikkelaar: BSYS www.bsys.be Blankenbergesesteenweg 5,

8420 De Haan 050/42.47.45

0497/ 28.10.38 Eddy Van Hoeserlande [email protected] Belangrijkste voordeel:

tijdsbesparing + extra mogelijkheden efficiënt en snel onbeperkt aantal leden en abonnementen sterk visueel concept, gebruiksvriendelijk diverse rapporten en statistieken mogelijk

Andere voordelen:

Garanties:


voor de toegangscontrole is een lidkaart met barcode nodig (kost ongeveer 1€ per stuk, maar kan via sponsoring) Voorwaarden:

http://www.bsys.be


211



.be Rent (eID-applicatie) Beschrijving: registratie van eID-gegevens van klanten die iets huren (+ datum/tijd wanneer het gehuurde goed

moet worden teruggebracht) + eventueel afdrukken van een fiche Interactie: ter plaatse: face-to-face Domein: bedrijven die iets verhuren Toekomst-plannen:



tijdsbesparing + extra mogelijkheden correctheid van de gegevens mogelijkheid tot genereren van rapporten geen andere software (bijv. MS Office) nodig

Andere voordelen:

Garanties:

Kostprijs: nog geen prijs bepaald Bijkomende kosten:

geen Windows 2000 (en hoger) Voorwaarden:



212

Registr8 (eID-applicatie) Beschrijving: verkoop van e-tickets (voorlopig zonder eID) voor alle evenementen, beurzen en congressen -

registreren (via de eID) van bezoekers (koppeling aan een bezoekersdatabank) en in discotheken (koppeling aan membership card)

Interactie: ter plaatse: face-to-face Domein: organisatie evenementen Toekomst-plannen:

mits aanpassing kan de eID gekoppeld worden aan Internetverkoop - de eindgebruiker dient dan te beschikken over een kaartlezer

Functionaliteit: identificatie (zonder pincode) Ontwikkelaar: Vsecurity www.vsecurity.be

www.registr8.eu Langensteenweg 26, 1785 Merchtem 0486/06.58.08 Marc Zimmerman

[email protected] Ontwikkelaar: Kurt Vermeiren - Euroweb (GSM: 0486 76 36 56)

Belangrijkste voordeel:

tijdsbesparing + correctheid van de identiteitsgegevens + veiligheid tijdsbesparing (lezen en verwerken van gegevens in 1 sec ) correctheid van de gegevens integratiemogelijkheden (bijv. preregistratie via online ticketing, gepersonaliseerde mailing,...) veiligheid (cfr. zwarte lijst in discotheken) bijkomende gegevens kunnen automatisch worden toegevoegd (bijv. gsm of mailadres)

Andere voordelen:

intelligente correctie van gegevens (bijv. typfouten)

immuun voor storingen of elektriciteitspannes Garanties: in- en export van gegevens via Word en Excel (verwerking mogelijk zonder menselijke tussenkomst)

Kostprijs: éénmalige prijs voor de setup Bijkomende kosten:

per registratie verplichte membership voor elke bezoeker in discotheek of alle ticketverkoop via Registr8 Voorwaarden:

http://www.vsecurity.be

http://www.registr8.eu


213



Sun Solutions (eID-applicatie) Beschrijving: registratie in bemande en onbemande zonnebankcentra en toegang tot onbemande

zonnebankcentra met de eID Interactie: ter plaatse: automaat ter plaatse: face-to-face Domein: bemande en onbemande zonnebankcentra Toekomst-plannen:

Functionaliteit: identificatie (zonder pincode) Ontwikkelaar: Sun Solutions www.sunsolutions.be Balgerhoeke 38, 9900 Eeklo 09/330.85.56 Christophe Bauwens (0476/61.25.17)

Philippe (0473/64.22.75) [email protected] [email protected]

[email protected] Belangrijkste voordeel:

correctheid van de identiteitsgegevens + voordelen voor beveiliging (videoocamerabeelden kunnen worden vergeleken met foto van de eID) correctheid van de gegevens voordelen voor beveiliging (videocamerabeelden kunnen worden vergeleken met foto op de eID) mogelijkheid om andere gegevens te koppelen aan de gegevens van de eID (bijvoorbeeld huidtype en telefoonnummer) vergemakkelijkt een mailing naar klanten

Andere voordelen:

Garanties:

Kostprijs: ongeveer 700 € voor de software voor het gebruik van de eID Bijkomende kosten:

kaartlezer (30€) Voorwaarden:

http://www.sunsolutions.be




214

Check eID (eID-applicatie) Beschrijving: on-line toepassing waarbij de eID-gegevens kunnen worden weergegeven en afgeprint zonder

middleware (gebruik makend van het digIDs platform) Interactie: van op afstand (online) Domein: algemeen Toekomst-plannen:

zou de formulieren van bewijs van adres kunnen vervangen - de burger kan gewoon naar de website van zijn gemeente gaan (waar de Check eID op geïnstalleerd werd) en een afschrift printen van de gegevens van zijn eID (inclusief adresgegevens)

Functionaliteit: identificatie (zonder pincode) Ontwikkelaar: digIDs joint venture (AgileSoft & ArrowUp) www.digids.be AgileSoft: Liersesteenweg 195, 2640 Mortsel

ArrowUp: Bijenstraat 12, 9051 Sint-Denijs-Westrem AgileSoft: 0476/75.16.64

ArrowUp: 09/382.00.82 AgileSoft: Michiel Scharpé

ArrowUp: Jean De Coster [email protected] Belangrijkste voordeel:

mogelijkheid om te bekijken wat er op de eID-kaart staat zonder middleware te moeten installeren zeer gebruiksvriendelijk: rechtstreeks via de website geen eID expertise vereist geen behoefte aan middleware of vooraf geïnstalleerde software

Andere voordelen:

Garanties:

Kostprijs: installatie + forfait voor transacties Bijkomende kosten:

Voorwaarden:

http://www.digids.be


215



Register eID (eID-applicatie) Beschrijving: on-line toepassing voor het registreren van de eID-gegevens op een website, zonder gebruik te

maken van middleware (gebaseerd op het BluePrint framework dat gebruik maakt van het digIDs platform)

Interactie: van op afstand (online) Domein: algemeen Toekomst-plannen:

Functionaliteit: identificatie (zonder pincode) Ontwikkelaar: digIDs joint venture (AgileSoft & ArrowUp) www.digids.be AgileSoft: Liersesteenweg 195, 2640 Mortsel

ArrowUp: Bijenstraat 12, 9051 Sint-Denijs-Westrem AgileSoft: 0476/75.16.64

ArrowUp: 09/382.00.83 AgileSoft: Michiel Scharpé

ArrowUp: Jean De Coster [email protected] Belangrijkste voordeel:

mogelijkheid om te registreren op een website via de eID zonder middleware te moeten installeren zeer gebruiksvriendelijk: rechtstreeks via de website geen eID expertise vereist geen behoefte aan middleware of vooraf geïnstalleerde software

Andere voordelen:

Garanties:

Kostprijs: installatie + forfait voor transacties Bijkomende kosten:

Voorwaarden:

http://www.digids.be


216

RoadByte eID Password Lock (eID-applicatie) Beschrijving: beveiligd bewaren van paswoorden met behulp van eID Interactie: ter plaatse: via computer Domein: algemeen Toekomst-plannen:


Functionaliteit: identificatie (zonder pincode) authenticatie (met pincode) Ontwikkelaar: RoadByte www.roadbyte.be Ganzenstraat 9, 8000 Brugge 0486/ 82.95.89 Mathias Vercruysse [email protected] Belangrijkste voordeel:


Andere voordelen:

handig navigeren, met zoekfunctie

Garanties:





217



Snelbalie (eID-applicatie) Beschrijving: digitaal loket, beveiliging website, klanten identificeren om gepersonaliseerde informatie te

geven, mogelijkheid tot online betalen Interactie: van op afstand (online) Domein: algemeen Toekomst-plannen:

voorlopg zijn er nog geen gebruikers uit de bedrijfswereld (enkel lokale overheden) - men denkt aan het ontwikkelen van kant-en-klare toepassingen

Functionaliteit: identificatie (zonder pincode) authenticatie (met pincode) Ontwikkelaar: Lithium ICT www.lithium.be Luikersteenweg 18, 3500 Hasselt 089/69.69.96 Christophe Van Durme [email protected] Belangrijkste voordeel:

beveiligd digitaal loket en Extranet verhoging security-level groter domein inzake veilige toepassing meer digitale transacties (tijdswinst)

Andere voordelen:

door rechtstreeks gebruik te maken van de middleware van Fedict Garanties:

Kostprijs: prijs afhankelijk van specifieke toepassing Bijkomende kosten:

setup host op basis van type installatie gebruik van onze eID-server ofwel installatie eigen eID-proxy Voorwaarden:

http://www.lithium.be


218

Time Solutions (eID-applicatie) Beschrijving: werknemers kunnen inloggen via de eID in het systeem om hun tijdsregistratiegegevens te

raadplegen (bijv. verlofsaldo) - het systeem wordt ook gebruikt voor het registreren van nieuwe werknemers via de eID

Interactie: ter plaatse: via computer Domein: human resources Toekomst-plannen:

in de toekomst zal de eID ook gebruikt worden voor on-line raadpleging en als toegangssysteem (de eID als badge)

Functionaliteit: identificatie (zonder pincode) Ontwikkelaar: Time Solutions www.timesolutions.be Balgerhoeke 38, 9900 Eeklo 09/330.85.56 Christophe Bauwens (0476/61.25.17)

[email protected] [email protected] Belangrijkste voordeel:

tijdsbesparing + correctheid van de identiteitsgegevens tijdsbesparing correctheid van de gegevens

Andere voordelen:

Garanties:

Kostprijs: ongeveer 700€ voor de software voor het gebruik van de eID Bijkomende kosten:

kaartlezer (30€) Voorwaarden:

http://www.timesolutions.be



219



One Sign (Imprivata) (eID-applicatie) Beschrijving: authenticatiebeheer, Single Sign-On en geïntegreerd fysisch/logisch toegangsbeheer - inloggen

op het netwerk met één enkel paswoord of via de eID - toegang tot alle applicaties - voor elke aparte applicatie worden unieke, sterke wachtwoorden achter de schermen aangemaakt en eventuele paswoordveranderingen worden automatisch doorgevoerd voor de gebruikers


Functionaliteit: identificatie (zonder pincode) authenticatie (met pincode) Ontwikkelaar: Imprivata www.imprivata.com Drie Eikenstraat 661, 2650 Edegem 03/ 826.93.55 of 0478/ 68.68.00 Rik Van Bruggen [email protected] Belangrijkste voordeel:

omdat single sign-on betekent dat er maar één toegangswijze is worden problemen met verschillende login namen en wachtwoorden opgelost (veilig en gebruiksvriendelijk) - bovendien verzorgt OneSign ook alle logging en rapportering van de acties die door de makkelijk te integreren - geen specifieke kennis vereist (ook integratie met andere eID-toepassingen mogelijk) eenvoudig te installeren en te beheren (volledig webgebaseerde interface) gebruiksgemak voor eindgebruiker - de single sign-on wordt automatisch actief na inloggen geen wijziging aan desktop-omgeving van eindgebruiker vereist lage total-cost-of-ownership

Andere voordelen:

geïntegreerde rapportage

Garanties:

Kostprijs: vanaf 7500€ voor 50 gebruikers - 44000€ voor 1000 gebruikers Bijkomende kosten:

Voorwaarden:

http://www.imprivata.com


220

myCertipost (eID-applicatie) Beschrijving: onlinebrievenbus om vertrouwelijke informatie (bijv. facturen en loonbrieven) of administratieve

formulieren van de overheid elektronisch te ontvangen, in te vullen en te versturen en voor elektronisch aangetekend schrijven (voor particulieren)


Functionaliteit: identificatie (zonder pincode) authenticatie (met pincode) elektronische handtekening Ontwikkelaar: Certipost www.certipost.be Clinton Park


053/60.11.11 Gyu Ramlot


veiligheid en betrouwbaarheid + tijdsbesparing (men hoeft zich niet meer te verplaatsen) de inschrijving en het ontvangen van documenten is volledig gratis online archivering mogelijk enkel geïdentificeerde personen hebben toegang tot de documenten mogelijkheid om online facturen te betalen

Andere voordelen:

Garanties:

Kostprijs: toegang tot myCertipost is gratis (myCertisafe is gratis tot 50 MB, daarboven betalend) Bijkomende kosten:

Voorwaarden:



221



Trust² (eID-applicatie) Beschrijving: beveiligen van elektronische documenten en e-mails zodat betrouwbare informatie kan

uitgewisseld worden Interactie: van op afstand (online) Domein: algemeen Toekomst-plannen:



053/60.11.11 Gyu Ramlot


beveiligen van elektronische documenten en e-mails op een veilige manier betrouwbare informatie uitwisselen mogelijkheid om profielen op te stellen de ontvanger moet zich identificeren (betrouwbaarheid) verschillende types documenten mogelijk eenvoudig te installeren

Andere voordelen:

het ontvangen van documenten is volledig gratis

Garanties:


Microsoft Office 2003 Professional Edition Voorwaarden:



222

e-Signing (eID-applicatie) Beschrijving: applicatie om online een wettelijk bindende handtekening te plaatsen op een elektronisch

document Interactie: van op afstand (online) Domein: algemeen Toekomst-plannen:



053/60.11.11 Gyu Ramlot


plaatsen van wettelijk bindende handtekening op elektronische documenten wettelijk geen verschil met een gewone handtekening minder papier, dus minder kosten minder tijdverlies gebruiksvriendelijk authenticiteitscontrole inbegrepen

Andere voordelen:

Garanties:

Kostprijs: diverse prijzen voor single-use of multi-use e-signatures (bij aankoop van een cetificaat worden soms een aantal e-signatures gratis bijgeleverd)

Bijkomende kosten:

Voorwaarden:



223



MS SharePoint eID (Ometa) (eID-applicatie) Beschrijving: inlezen van gegevens van de eID in Sharepoint en linken van documenten aan de gegevens van

de eID + mogelijkheid voor authenticatie en elektronische handtekening via Microsoft Office Forms (e-forms)


uitbreiden naar klantenkaarten

Functionaliteit: identificatie (zonder pincode) authenticatie (met pincode) elektronische handtekening Ontwikkelaar: Ometa http://sharepoint.ometa.net Drie Eikenstraat 661, 2650 Edegem 03/ 826.93.76 Luc Deleu [email protected] Belangrijkste voordeel:

vereenvoudiging bij het invullen van formulieren (gebruik van de gegevens van de eID) + automatisch linken van documenten aan de eID, bijvoorbeeld ter beveiliging (wie mag welke documenten lezen of aanpassen?) informatie van de e-form kan gebruikt worden als meta-informatie in SharePoint mogelijkheid om dynamische views te creëren op basis van informatie op een eID-kaart (bijv. automatisch zoeken op alle documenten en formulieren) alle informatie in Sharepoint is automatisch gelinkt aan Outlook (dus ook de eID-gegevens) vereenvoudigde opzoeking op een website op basis van informatie op de eID

Andere voordelen:

Microsoft Certified partner Garanties:


indien men kiest voor authenticatie (met pincode) dan is de aankoop van een eID-Digipass (Vasco) aangewezen (veiligheid waarborgen) Voorwaarden:

http://sharepoint.ometa.net


224

Arcabase eID platform (eID-applicatie) Beschrijving: webapplicatie: authenticatie voor toegang tot websites en elektronisch ondertekenen van

documenten en acties vanuit de webapplicatie Interactie: van op afstand (online) Domein: algemeen Toekomst-plannen:

tijdsregistratie met eID, mogelijkheid tot delegeren via signaturen

Functionaliteit: identificatie (zonder pincode) authenticatie (met pincode) elektronische handtekening Ontwikkelaar: Arcabase www.arcabase.be Wechelsebaan 143 Unit 13, 2275 Lille 03/309.27.08 Herman Van Looveren [email protected] Belangrijkste voordeel:

beveiligde toegang tot websites en beveiligen van elektronische documenten en acties uitgebreide eID toolkit voor een vlotte integratie

Andere voordelen:

betrouwbaar platform gehosted in ons eigen datacenter Garanties:


Voorwaarden:

http://www.arcabase.be


225



eID Service Platform (eID-applicatie) Beschrijving: eID service platform en software modules om procedures via Internet of Intranet te

elektroniseren, gebruik makend van de eID - met mogelijkheid tot consultatie van persoonlijke dossiers (authenticatie), elektronische uitwisseling van documenten, elektronische ondertekenen van formulieren en online uitvoeren van bestellingen en betalingen - ook verrijking van eID-gegevens met gegevens uit externe bronnen en/of bedrijfsdatabanken


beroepenpakketten (bijv. fleetmanager pack, verzekeringsmakelaar pack,…) en functiepakketten (leeftijdscontrole pack, postcode pack,…)

Functionaliteit: identificatie (zonder pincode) authenticatie (met pincode) elektronische handtekening Ontwikkelaar: the eID Company www.eidcompany.be Wijnstokstraat 18

1050 Brussel 0495/ 55.79.53 Hugues Dorchy [email protected] Belangrijkste voordeel:

eenvoudigere, snellere en meer geautomatiseerde transacties met de gebruiker kostenbesparing en verhoging efficiëntie van bedrijfsprocessen online diensten kunnen geïndividualiseerd worden in functie van het profiel van de gebruikers eID-gegevens kunnen verrijkt worden met gegevens uit bedrijfsdatabanken slechts een beperkte of helemaal geen integratie in de IT back-office vereist gebruikers kunnen formulieren (documenten, attesten en e-mails) elektronisch ondertekenen in hun eigen naam of in naam van het bedrijf

Andere voordelen:

ondersteunende diensten zijn 24u op 24 en 7dagen op 7 beschikbaar

voorzien op mogelijke wijzingen van eID kaarten - gegarandeerde compatibiliteit tussen versies Garanties: beheer van de dienstverlening en garantie van kwaliteitsniveau (SLA).


Voorwaarden:

http://www.eidcompany.be


226

BluePrint (eID-applicatie) Beschrijving: eID compatibel web portaal framework dat toelaat om webgebaseerde oplossingen te

ontwikkelen - ondersteunt identificatie, authenticatie en elektronische handtekening, compatibel met de eID (middlewareloze toepassing) - bevat webservices zodat externe webtoepassingen eID-compatibele functies snel kunnen integreren - bovenop de bestaande componenten kan custom development aangeboden worden


Functionaliteit: identificatie (zonder pincode) authenticatie (met pincode) elektronische handtekening Ontwikkelaar: AgileSoft www.agilesoft.be Liersesteenweg 195, 2640 Mortsel 0476/75.16.64 Michiel Scharpé [email protected] Belangrijkste voordeel:

betaalbare, gebruiksvriendelijke en flexibel inzetbare portaal website compatibel met de eID - ontworpen voor eenvoudig inpluggen van nieuwe functionaliteiten kant en klare portaal oplossingen, compatibel met de eID en middelware-loos eenvoudig beheer, efficiënt, kosteffectief, uiterst schaalbaar en robuust eenvoudig inpluggen van nieuwe functionaliteiten

Andere voordelen:

geldige juridisch afdwingbare handelingen met de eID (digitaal notaris) Garanties: "Microsoft Platform Test for ISV Solutions" gecertificeerd door VeriTest

Kostprijs: licentie of SAAS (software as a service), prijs afhankelijk van gewenste functionaliteiten Bijkomende kosten:

onderhoud, hosting

Voorwaarden:

http://www.agilesoft.be


227



b-Doc Patiëntendossier (eID-applicatie) Beschrijving: b-Doc is een totaalplossing voor het beheer van patiëntendossiers bestemd voor alle betrokken

actoren in de gezondheidssector. Gezien het vertrouwelijk karakter van de medische gegevens en het feit dat de toegang tot de diverse functionaliteiten van de applicatie afhangt van het profiel van de gebruiker, is het absoluut nodig om de gebruiker te kunnen identificeren en authenticeren. De elektronische identiteitskaart is hiervoor een geschikt middel.

Interactie: ter plaatse: via computer Domein: medisch Toekomst-plannen:

integratie van de SIS-kaart

Functionaliteit: authenticatie (met pincode) elektronische handtekening Ontwikkelaar: Ciges www.ciges.com of www.bdoc.be Aéropôle R. Clément Ader 15, 6041 Charleroi Rudy Simons 071/ 25 75 55 [email protected] Belangrijkste voordeel:

automatische identificatie en authenticatie van alle actoren

Andere voordelen:

Garanties:

Kostprijs: geïntegreerd in de kosten van de software Bijkomende kosten:

Voorwaarden: de kaartlezer moet door de organisatie zelf worden voorzien

http://www.ciges.com

http://www.bdoc.be


228

Pegase Platform (eID-applicatie) Beschrijving: Pegase is afkorting van: “Plate-forme d’Echange générique avec Accès sécurisé par eID”:

Algemeen uitwisselingsplatform beveiligd door de eID Interactie: ter plaatse: via computer (en Internet) Domein: algemeen Toekomst-plannen:

Functionaliteit: authenticatie (met pincode) encryptie van informatie (gegevens, documenten,…) op de server beveiligde connectie (SSL) Ontwikkelaar: NSI-IT www.nsi-sa.be Chaussée de Bruxelles 174A, 4340 Awans Philippe Canon 04/ 239 91 50 [email protected] Belangrijkste voordeel:

gebruik van de eID: laat toe om op een wettelijke manier een sterke authenticatie uit te voeren vertrouwelijkheid van de documenten op de server de informatie voor de bestemmelingen wordt verzorgd door de berichtendienst van de organisatie geen bekommernis meer over de omgeving van de ontvanger (klant berichtendienst, web mail, enz de mail is niet de drager van het document, maar geeft enkel aan waar het document te vinden is gebruiksvriendelijke interface voor de gebruikers

Andere voordelen:

compatibel met alle standaard internet navigators op de markt Garanties:


Voorwaarden:

http://www.nsi-sa.be


229



Elektronische handtekening van medische dossiers (eID-applicatie) Beschrijving: elektronisch ondertekenen van geneeskundige dossiers met behulp van de eID Interactie: ter plaatse: via computer Domein: medisch (maar ook toepasbaar in andere domeinen) Toekomst-plannen:

In de toekomst zullen de volgende modules worden uitgewerkt: - een module die toelaat aan iedere persoon om de handtekening te controleren

(authentificatie van de handtekening, onweerlegbaarheid en integriteit van het document). - elektronische handtekening in PDF-formaat, voor contacten met derden. - online controle van de geldigheid van certificaten (OCSP).

Functionaliteit: elektronische handtekening authenticatie: nog niet ondersteund, maar kan worden toegevoegd Ontwikkelaar: NSI-IT www.nsi-sa.be Chaussée de Bruxelles 174A, 4340 Awans Philippe Canon 04/ 239 91 50 [email protected] Belangrijkste voordeel:

de software voor de elektronische handtekening garandeert het wettelijke karakter van de handtekening van de artsen responsabilisering van de artsen optimalisering van het productieproces van geneeskundige dossiers binnen het ziekenhuis

Andere voordelen:

open source Java standaarden W3C standaard voor elektronische handtekeing XMLDSIG

Garanties:


kosten van het volledige project: 67 K€

Voorwaarden:

http://www.nsi-sa.be


230

Platform evidencecube (eID-applicatie) Beschrijving: Het bedrijf evidencecube is gespecialiseerd in de dematerialisatie van de uitwisseling van

documenten met legale waarde. Het platform evidencecube is een geïntegreerd communicatieplatform dat authenticiteit en traceerbaarheid bij elke uitwisseling garandeert, tot en met de wettelijke erkenning van de uitwisseling (elektronische equivalent van een aangetekende zending). Het platform ondersteunt de elektronische handtekening met legale waarde, alsook elektronische co-signatures en contre-signatures.

Interactie: ter plaatse: via computer (en Internet) Domein: algemeen Toekomst-plannen:

Functionaliteit: identificatie (zonder pincode) authenticatie (met pincode) elektronische handtekening Ontwikkelaar: evidencecube www.evidencecube.com Rue Modeste Rigo 29, 4350 Pousset (Remicourt) 019/ 33 12 82 Hervé Bouvet [email protected] 0476/ 32 48 23 Belangrijkste voordeel:

elektronisch aangetekend schrijven, traceerbaarheid van de elektronische uitwisselingen

dematerialisatie en archivering van wettelijke documenten op elektronische wijze (dankzij de elektronische handtekening) systeem van elektronische brandkast dienst beschikbaar via een eenvoudige Internet navigator zonder bijzondere software-installatie

Andere voordelen:

ondersteunt elke type PKI elektronische handtekening, naast deze gelinkt aan de eID

audit gerealiseerd door het CRID voor het aspect elektronisch aangetekend schrijven (www.crid.be): naleving van de standaarden voor cryptografie en de elektronische handtekening

Garanties:

Kostprijs: abonnement plus verbruik van virtuele postzegels voor elke elektronische zending Bijkomende kosten:

Voorwaarden: de gebruiker moet in het bezit zijn van een tool voor de elektronische handtekening, zoals bijv. de eID

http://www.evidencecube.com


http://www.crid.be):

231



eID geïntegreerd in softwarepakketten Tivoli Access Manager for e-business (eID in softwarepakket)

Beschrijving: authorisatie en reverse proxy oplossing die verschillende mogelijkheden van authenticatie

(waaronder de eID) simultaan toelaat Interactie: van op afstand (online) Domein: algemeen Toekomst-plannen:

Functionaliteit: identificatie (zonder pincode) authenticatie (met pincode) Ontwikkelaar: IBM www.ibm.com/be/eid Bourgetlaan 42, 1130 Evere 02/225.21.11 Karl De Backer [email protected] Belangrijkste voordeel:

beveiligde toegang tot applicaties kan geïntegreerd worden met meerdere webapplicaties met minimale inspanning parallel gebruik van verschillende authenticatiemethodes

Andere voordelen:

Garanties:

Kostprijs: op aanvraag Bijkomende kosten:

Voorwaarden:

http://www.ibm.com/be/eid


232

Lotus Workplace Forms (eID in softwarepakket) Beschrijving: bedrijfsdocumenten beveiligen met een elektronische handtekening - de formulieren kunnen

bewaard worden in een content management systeem - verschillende delen van het elektronisch document kunnen getekend worden door verschillende gebruikers - het document kan ook attachments bevatten


Functionaliteit: identificatie (zonder pincode) authenticatie (met pincode) elektronische handtekening Ontwikkelaar: IBM www.ibm.com/be/eid Bourgetlaan 42, 1130 Evere 02/225.21.11 Karl De Backer [email protected] Belangrijkste voordeel:

ondertekenen van elektronische documenten verschillende delen van het electronisch document kunnen getekend worden door verschillende gebruikers document kan ook attachments en desktop applicaties bevatten elektronische formulieren gebaseerd op xml

Andere voordelen:

Garanties:


Voorwaarden:



233



Lotus Notes en Domino (eID in softwarepakket) Beschrijving: elektronisch ondertekenen van e-mails - vergrendelen en ontgrendelen van de PC via de eID -

eenvoudige configuratie van webauthenticatie met de eID (in Lotus Notes en Domino) Interactie: ter plaatse: via computer van op afstand (online) Domein: algemeen Toekomst-plannen:

Functionaliteit: identificatie (zonder pincode) authenticatie (met pincode) elektronische handtekening Ontwikkelaar: IBM www.ibm.com/be/eid Bourgetlaan 42, 1130 Evere 02/225.21.12 Karl De Backer [email protected] Belangrijkste voordeel:

elektronisch ondertekenen van e-mails - eID-authenticatie naar Lotus Notes (zowel client als webbased) elektronische handtekening op e-mails verzekert de identiteit van de gebruiker en dat de inhoud niet gewijzigd is eID voor het ver- en ontgrendelen van Lotus Notes

Andere voordelen:

Garanties:


Voorwaarden:



234

eID-interface Efficy (eID in softwarepakket) Beschrijving: webbased CRM-software Interactie: van op afstand (online) ter plaatse: via computer Domein: CRM (customer relationship management) Toekomst-plannen:

Functionaliteit: identificatie (zonder pincode) authenticatie (met pincode) Ontwikkelaar: Invemaco www.efficy.be Plejadenlaan, 15

1200 Sint-Lambrechts Woluwe 02/ 648.18.98 Cédric Pierrard [email protected] Belangrijkste voordeel:

authenticatie van gebruikers voor toegang webapplicatie

Andere voordelen:

Garanties:


Voorwaarden:

http://www.efficy.be


235



eID-interface Mercator (eID in softwarepakket) Beschrijving: Mercator is software-oplossing voor de integratie van boekhouding, commercieel beheer,

verkooppunten en e-commerce - de eID wordt gebruikt voor het automatisch invullen van de klantenfiche (voor de getrouwheidskaartjes, de waarborgen, de mailing, de marketing, enz) en voor het inloggen in het systeem door de gebruikers

Interactie: ter plaatse: face-to-face ter plaatse: via computer Domein: algemeen Toekomst-plannen:

momenteel is er nog geen mogelijkheid om via de eID online in te loggen, maar van zodra er vraag naar is, zal deze functionaliteit worden toegevoegd

Functionaliteit: identificatie (zonder pincode) authenticatie (met pincode) Ontwikkelaar: Ineo www.mercator.eu Route d'Andenne 37, 5310 Eghezee 02/ 535.75.55

0477/ 41.72.68 Olivier Billa

technisch-commercieel verantwoordelijke [email protected] Belangrijkste voordeel:

klanten moeten minder lang wachten aan het onthaal + betere controle tegen fraude efficiënt en snel vermijden van typfouten ondersteunt meerdere aangesloten kaartlezers volledig parametriseerbaar - je kan modules opstellen die slechts enkele velden van de eID lezen

Andere voordelen:

Garanties:

Kostprijs: vanaf 500€ Bijkomende kosten:

afhankelijk van de behoeften van de klant Mercator 6.2 of hoger Voorwaarden:

http://www.mercator.eu


236

eID-interface BRIO (eID in softwarepakket) Beschrijving: BRIO is een programma voor het beheer van een makelaarskantoor - de bediende van het

kantoor kan zich authenticeren met de eID (met pincode) om toegang te krijgen tot het systeem en de gegevens van de klanten kunnen ook met de eID worden ingeladen in het systeem (het rijksregisternummer wordt niet opgeslagen) - de eID wordt niet gebruikt voor de elektronische handtekening - daarvoor hebben zij hun eigen certificatensysteem (Portima heeft eigen PKI-certificaten en treedt op als certificatieautoriteit voor authenticatie en elektronische handtekening)

Interactie: ter plaatse: via computer van op afstand (online) Domein: verzekeringen Toekomst-plannen:

Functionaliteit: identificatie (zonder pincode) authenticatie (met pincode) Ontwikkelaar: Portima www.portima.com Terhulpsesteenweg 150 , 1170 Brussel 02/ 404.44.11 Claude Rapoport - hoofd afdeling Development Belangrijkste voordeel:

tijdsbesparing + extra mogelijkheden efficiënt en snel vermijden van typfouten veilig inloggen op systeem beveiligd Portima-netwerk (viruswall, firewall, spamwall en versleutelde en gecertificeerde berichten)

Andere voordelen:

Garanties:


BRIO versie 3.2 Voorwaarden:

http://www.portima.com

237



eID-interface AS/Web (eID in softwarepakket) Beschrijving: AS/Web (AS2) is een webportaal voor de communicatie tussen de makelaars en de

verzekeringsmaatschappijen - het aanloggen op dit portaal (authenticatie) kan gebeuren met de eID (met pincode) - de eID wordt niet gebruikt voor de elektronische handtekening - daarvoor hebben zij hun eigen certificatensysteem (Portima heeft eigen PKI-certificaten en treedt op als certificatieautoriteit voor authenticatie en elektronische handtekening)

Interactie: ter plaatse: via computer van op afstand (online) Domein: verzekeringen Toekomst-plannen:

Functionaliteit: identificatie (zonder pincode) authenticatie (met pincode) Ontwikkelaar: Portima www.portima.com Terhulpsesteenweg 150 , 1170 Brussel 02/ 404.44.11 Claude Rapoport - hoofd afdeling Development Belangrijkste voordeel:

tijdsbesparing + extra mogelijkheden efficiënt en snel vermijden van typfouten veilig inloggen op systeem beveiligd Portima-netwerk (viruswall, firewall, spamwall en versleutelde en gecertificeerde berichten)

Andere voordelen:

Garanties:


Voorwaarden:

http://www.portima.com

238

eID-interface Schoolonline (eID in softwarepakket) Beschrijving: online softwarepakket ontwikkeld op maat van de school - bestaande uit diverse (zelf te kiezen)

modules zoals puntenboek & rapportering, attituderapportering, leerlingenvolgsysteem, stagebeheer, sanctiebeheer, enz. - leerkrachten (en ander personeel) kunnen inloggen met hun eID

Interactie: ter plaatse: face-to-face van op afstand (online) Domein: onderwijs Toekomst-plannen:

wordt bepaald op vraag van de scholen

Functionaliteit: identificatie (zonder pincode) Ontwikkelaar: Pronoia www.pronoia.be Louis Varlezstraat 8, 9030 Mariakerke 0473/ 36.63.06 Jeroen Bekaert - zaakvoerder [email protected] Belangrijkste voordeel:

efficiëntie en kwaliteitsverhoging browser- en platform-onafhankelijk beveiligde verbinding instellen van rechten per gebruiker(sgroep) volledige integratie van de verschillende modules in één pakket koppeling mogelijk met ELO (elektronische leeromgeving) zoals Moodle en Dokeos (open source platformen)

Andere voordelen:

Garanties:


Voorwaarden:

http://www.pronoia.be


239



eID mobiele toestestellen IDWatcher (mobiel toestel)

Beschrijving: draagbaar toestel op batterij, om de publieke inhoud van een eID kaart op een LCD scherm af te

lezen Interactie: ter plaatse: face-to-face Domein: algemeen Toekomst-plannen:

toepassing in de auto - om de eID gegevens te kunnen lezen (adres staat niet meer op de kaart) - bijv. bij ongeval / specifiek gebruik door een ambulance



tijdsbesparing + correctheid van de identiteitsgegevens stand-alone toestel, geen PC nodig stevige behuizing werkt met standaard AA Alkaline batterijen met lange levensduur (opladen niet nodig)

Andere voordelen:

firmware updatable bij Belgische fabrikant Garanties:

Kostprijs: 132€ (1stuk) tot 91€ (100 stuks) Bijkomende kosten:

Voorwaarden:

http://www.xln-t.be


240

Vasco mobiele eID-lezer (mobiel toestel) Beschrijving: draagbare eID-kaartlezer voor het lezen van de eID-gegevens Interactie: ter plaatse: face-to-face Domein: algemeen Toekomst-plannen:

Functionaliteit: identificatie (zonder pincode) Ontwikkelaar: Vasco www.digipassforeid.be Koningin Astridlaan 164, 1780 Wemmel 02/ 609.97.00 Frank Coulier

Jo Mellemans [email protected]


wordt vooral gebruikt voor de controle van de identiteitskaart en het lezen van het adres beperkt gewicht en compacte vorm gebruiksvriendelijk bestand tegen slijtage en regen kan geïntegreerd worden met de Vasco Vacman middleware (authenticatieplatform) en gebruikt worden als Digipass (creëren van dynamische paswoorden)

Andere voordelen:

levensduur van de batterij is ongeveer 5 jaar Garanties:


Voorwaarden:

http://www.digipassforeid.be



241



Arena Police Mate Xi-Max (mobiel toestel) Beschrijving: draagbare eID-kaartlezer voor het lezen van de eID-gegevens Interactie: ter plaatse: face-to-face Domein: algemeen + politioneel toezicht Toekomst-plannen:


wordt vooral gebruikt voor de controle van de identiteitskaart en het lezen van het adres mobiele toepassing

Andere voordelen:

Garanties:


verplicht jaarlijks onderhoudscontract (20€) Voorwaarden:



242

Arena Police Mate Xi-Plus3 (mobiel toestel) Beschrijving: draagbare eID-kaartlezer die de gegevens opslaat van maximum 500 identiteitskaarten (+

communicatie met PC) Interactie: ter plaatse: face-to-face ter plaatse: via computer Domein: algemeen Toekomst-plannen:


tijdsbesparing + correctheid van de identiteitsgegevens + extra mogelijkheden mobiele toepassing uitbreidbaar naar andere kaarten (bijv. SIS-kaart)

Andere voordelen:

Garanties:


verplicht jaarlijks onderhoudscontract (42€) Voorwaarden:



243



Arena Xi-Pass (mobiel toestel) Beschrijving: toestel dat de gegevens van de eID-kaart leest met pincode en scherm Interactie: ter plaatse: face-to-face ter plaatse: via computer Domein: overheid Toekomst-plannen:

Functionaliteit: identificatie (zonder pincode) authenticatie (met pincode) Ontwikkelaar: Arena Solutions www.arena-solutions.be Horizonpark Zone 2, Leuvensesteenweg 510 bus 8, 1930 Zaventem 02/609.52.22 Frans Cools (project manager) [email protected] Belangrijkste voordeel:

lezen van de gegevens + authenticatie (pincode ingeven) lokale authentificatie - scherm weergave van de pincode met sterretjes gebruikt voor complexere configuraties uitbreidbaar naar andere smartcards

Andere voordelen:

Garanties:


geen Voorwaarden:



244

Vasco eID Digipass (mobiel toestel) Beschrijving: de eID Digipass wordt geactiveerd met de eID - er wordt een paswoord gecreëerd (éénmalig)

waarmee je kan inloggen op je computer - er is dus geen connectie tussen de eID en de computer en er is ook geen middleware op de computer nodig (de middleware is geïntegreerd in de Digipass)

Interactie: van op afstand (online) ter plaatse: via computer Domein: algemeen Toekomst-plannen:

de Digipass zal worden uitgebreid zodat hij ook als een gewone kaartlezer (geconnecteerd aan de computer en zonder pincode) kan gebruikt worden

Functionaliteit: identificatie (zonder pincode) authenticatie (met pincode) Ontwikkelaar: Vasco www.digipassforeid.be Koningin Astridlaan 164, 1780 Wemmel 02/ 609.97.00 Frank Coulier



authenticatie met de eID op een veilige manier (geen fysieke connectie tussen het toestel voor authenticatie en de computer) genereert éénmalige dynamische paswoorden fysieke scheiding tussen het toestel en de computer (veilig voor hackers) geen installatie van middleware op de computer nodig (alles is aanwezig in het toestel) logo kan op Digipass worden geprint

Andere voordelen:

levensduur van de batterij is ongeveer 5 jaar Garanties:


Voorwaarden:




245



Vasco eID Digipass voor blinden en slechtzienden (mobiel toestel) Beschrijving: de eID Digipass wordt geactiveerd met de eID - er wordt een paswoord gecreëerd (éénmalig)

waarmee je kan inloggen op je computer - deze Digipass is uitgerust met spraaktechnologie zodat het kan gebruikt worden door blinden en slechtzienden

Interactie: van op afstand (online) ter plaatse: via computer Domein: algemeen Toekomst-plannen:

de Digipass zal worden uitgebreid zodat hij ook als een gewone kaartlezer (geconnecteerd aan de computer en zonder pincode) kan gebruikt worden

Functionaliteit: identificatie (zonder pincode) authenticatie (met pincode) Ontwikkelaar: Vasco www.digipassforeid.be Koningin Astridlaan 164, 1780 Wemmel 02/ 609.97.00 Frank Coulier



authenticatie met de eID op een veilige manier (geen fysieke connectie tussen het toestel voor authenticatie en de computer) genereert éénmalige dynamische paswoorden fysieke scheiding tussen het toestel en de computer (veilig voor hackers) ingebouwde spraaktechnologie (ingebouwde luidspreker en bijgeleverde hoofdtelefoon) gebruiksvriendelijk display en toetsenbord (extra grote toetsen) geen installatie van middleware op de computer nodig (alles is aanwezig in het toestel)

Andere voordelen:

logo kan op Digipass worden geprint Garanties:


Voorwaarden:




Vooruitgangstraat 50

B-1210 Brussel

Ondernemingsnummer: 0314.595.348


Toekomstgerichte studie over de potentiële economische … · 4.2.3 e-commerce in België 60 4.3...

Documents

Transcript of Toekomstgerichte studie over de potentiële economische … · 4.2.3 e-commerce in België 60 4.3...