Aanpassing voorwaarden DigiD en nieuwe Checklist aansluiten

• Download in MP4 HD formaat MP4 HD | 804.6 MB

*Muziek speelt*
Titel in beeld: Remote Roadshow oktober 2022
Titel in beeld: Aangepaste aansluitvoorwaarden voor DigiD en Machtigen en het nieuwe CombiConnect koppelvlak

We gaan snel door, praten over DigiD.

Niet onbelangrijk, want elke Nederlander heeft die DigiD app op z'n telefoon zitten.

Die blijven we ontwikkelen. We hebben het feestje al gevierd. Hij bestaat 18 jaar.

Dus zijn Kevin Ronkes en Roel Vaessen bij mij aangeschoven.

Beiden Business Consultant in het domein Toegang. Heren, van harte welkom.

Ja, DigiD. Kevin, maakt het je ook trots? Vandaag achttien jaar?

Zeker. Ik loop al wat jaartjes mee bij Logius...

dus ik heb bijna het begin meegemaakt. Net niet helemaal.

Maar inmiddels heb ik al ruim 13 jaar met dit product te maken.

En ik word er nog steeds blij van. =-Juist.

Ik noemde ook al even eerder vanmiddag de Logius app.

Dat is een eigen app die jullie hebben om de wereld uit te leggen...

wat er allemaal op de mensen afkomt. Maar niet iedereen downloadt 'm, geloof ik.

Nog niet. Wel heel veel mensen, gelukkig. Veel van onze afnemers.

Dat zijn de belangrijkste die kennis moeten nemen van wat wij doen.

We hebben natuurlijk heel veel verschillende soorten afnemers.

We hebben erg veel producten en diensten. Daar willen we af en toe over informeren.

En we hebben natuurlijk niet elke dag zo'n mooie Roadshow als vandaag.

Dus om op de hoogte te blijven, moet je die in de gaten houden.

En dan kunnen we ook beter duiden wanneer bepaalde ontwikkelingen eraan komen.

Dat is niet altijd duidelijk. =-de app stuurt pushberichten.

Klopt, en soms geven we een aanzetje dat mensen iets moeten doen.

Als er iets in de pre-productie staat, kunnen onze afnemers dat vast gaan testen.

Ook belangrijk. Kunnen ze feedback geven voor we dingen doorbrengen naar productie.

Wat was er afgelopen periode belangrijk om even uit te lichten...

wat ook in de Logius app is gekomen? =-daar wil Ik wel Wat over zeggen.

We hebben best veel verbeteringen doorgevoerd.

Een hele leuke is bijvoorbeeld, of eigenlijk wel een belangrijke...

is dat we geen notificaties meer sturen naar mensen die zijn overleden.

Dat gaat dan over DigiD? =-Ja.

Als je DigiD lange tijd niet gebruikt, dus als je overleden bent...

dan vervalt op een gegeven moment vanzelf je DigiD account.

Nou, om je eraan te herinneren dat dat bijna het geval is...

stuurden we een notificatie.

Nou, dat is natuurlijk niet leuk als degene al is overleden. Dat vangen we netjes af.

Op een telefoon die al een half jaar niet gebruikt wordt?

Of in een e-mailbox.

Wat we ook hebben verbeterd, of veranderd aan de DigiD app...

dus dat is niet de Logius app, maar de DigiD app...

is dat we nu starten met de pincode.

Dus je bent dan gelijk eigenlijk in het veilige gedeelte van je app.

Dat zijn we gaan doen om meer functionaliteit toe te voegen aan de app.

En het gaat ook echt helpen straks dat we makkelijker van domein kunnen switchen.

Dus je wilt bijvoorbeeld van je huisarts naar je apotheek.

Als je dat nu wilt hebben als afnemer of als groep...

moet je een Single Sign-On inrichten, zoals dat heet.

Nou, dat is nogal ingewikkeld, daar stoppen we mee.

Dat gaat eenvoudige herauthenticatie heten en daarmee kan je heel makkelijk...

van domein A, bijvoorbeeld je huisarts, naar je apotheek...

door een simpele herbevestiging op de app.

Dus voorbereidende werkzaamheden, wat later dit jaar of begin volgend jaar ook komt.

Komt de DigiD app daarmee iets dichter bij de banken apps die ik heb?

Nou, zo zou je het wel kunnen zien. Heel veel mensen herkennen banken apps...

Waarvan je er als gebruiker ook van uitgaat dat ze superveilig zijn.

Ja, weet je wat het grote verschil is? Kijk, banken hebben een risico.

En die risicoafweging heeft met financiën te maken. Dat kunnen wij niet doen.

Dus ik vind echt wel dat wij nog een veel scherpere afweging moeten maken...

omdat wij gewoon heel veel gegevens te beschermen hebben.

Maar het gaat er iets meer op lijken.

Want ik logde in m'n DigiD app in met een vijfcijferige pincode.

Klopt. =-Net Als bij de bank.

Inderdaad, dus het lijkt ook, de banken lopen altijd heel erg voorop...

in informatiebeveiliging, want dat financiële risico is natuurlijk...

Je bent wel veilig, dus dat kunnen ze afkopen...

maar het kost de banken ook heel veel geld als ze het niet goed voor elkaar hebben.

En je ziet nu dat de DigiD app daar iets meer op gaat lijken inderdaad.

Dus je start nu en je mag gelijk je pincode intoetsen.

Dus dat is een belangrijke ontwikkeling in de DigiD app.

Die je dus nu al ziet, maar die straks nog veel meer gebruikt gaat worden.

Er zijn bijvoorbeeld ook verbeteringen aan mijn DigiD...

je site waar je dingen kunt regelen rondom DigiD, doorgevoerd.

Daar kan je nu makkelijker je e-mailadres toevoegen...

zodat wij je kunnen berichten als er wat is rondom DigiD.

En je kan nu ook makkelijker aanzetten...

dat je alleen met tweefactorauthenticatie, daar gaat 't straks nog over, wil inloggen.

Zodat je altijd zelf op het beste niveau eigenlijk inlogt.

En jullie zijn bezig geweest met App2App.

Dat klopt ook. We hebben het heel veel over verschillende soorten apps vandaag.

Logisch in 2022. -Ja, zeker.

App2App is een functionaliteit waarmee de DigiD app aangeroepen wordt...

door een andere app. Dus een goed voorbeeld is de Berichtenbox app.

Waar je berichten van de overheid ontvangt.

Als je daar een bericht ontvangt of je hebt 'n seintje dat je moet kijken...

dan wil je eigenlijk je authenticatie doen middels de DigiD app.

En de implementatie, de manier waarop je daarop aansluit...

hebben we makkelijker gemaakt, ook met 't oog op de toekomst.

Omdat we verwachten dat daar veel meer gebruik van gemaakt gaat worden.

Hou de Logius app dus in de gaten, want er komen weer nieuwe dingen aan.

Ja, er zijn er twee die we vandaag graag willen toelichten.

Enerzijds de komst van het nieuwe CombiConnect-koppelvlak.

CombiConnect-koppelvlak. Jullie verzinnen het wel, Theo.

Maar het begint niet met digi. -Nee, dat scheelt.

Het is wel onderdeel van DigiD, een DigiD koppelvlak.

Daarover willen we wat vertellen. En over de herziening van onze aansluitvoorwaarden.

En het is belangrijk om daar vast wat over te vertellen.

CombiConnect-koppelvlak, Roel. Neem jij die voor je rekening?

Ja, ik vind het wel lekker klinken. CombiConnect.

De alliteratie, het allitereert lekker. =-Het klinkt goed.

Het belangrijkste van dat CombiConnect- koppelvlak, het woord combi zit er al in.

Als een afnemer een DigiD-aansluiting wil, moet die aansluiten bij ons, bij Logius.

Als je in het verleden een DigiD aansluiting wilde, sloot je aan bij Logius.

Wilde je dan later ook gebruik maken van DigiD Machtigen...

dus je wil machtigbare diensten aanbieden...

dan moest je ook nog eens een keer aansluiten bij DigiD Machtigen.

Zeker bij DigiD Machtigen was dat een hoop gedoe.

Nu maken we één slimme aansluiting, CombiConnect...

de combi van zowel DigiD als DigiD Machtigen.

En dat laatste kan je natuurlijk als dienstverlener gewoon uit- of aanzetten...

zodat je niet meteen gedwongen wordt om die dienstverlening ook te ondersteunen.

Dat zou mooi zijn, maar zo eenvoudig werkt dat niet.

Dus het is configureerbaar. Alweer zo'n mooi woord met zo'n lekkere klank.

En hoe hou je dat dan veilig? Want vandaag gaat het over veiligheid.

Dus jullie hebben dit nu, dit komt eraan.

Maar dan denk je ook weer na over, dat moet wel veilig kunnen.

Ja, het belangrijkste, het veilige zit meer in een ander aspect.

Tot voor kort waren heel veel dienstverleners...

Daar logde je in met je gebruikersnaam en wachtwoord.

Er gaat steeds meer naar twofactor toe.

Maar het makkelijke van gebruikersnaam en wachtwoord...

is dat je het aan je buurman kan geven...

zodat hij je kan helpen met het doen van aangifte, een aanvraag.

En vroeger was dat misschien niet zo risicovol...

maar tegenwoordig zit er zoveel dienstverlening achter je DigiD.

Je geeft je bankpas en je paspoort niet aan je buurman.

Maar we willen wel dat mensen elkaar kunnen helpen.

Dus daarom maken we dat machtigen steeds toegankelijker.

Zodat mensen elkaar toch kunnen helpen.

Nu kan ik Kevin machtigen om m'n aangifte te doen.

En dan kan hij alleen maar dat doen en niet m'n donorcodicil veranderen...

en hij kan niet in m'n patiëntendossier van het ziekenhuis.

Gelukkig maar. =-Er komen vragen over binnen.

Hoe bevalt de DigiD meervoudige aansluiting en assessment?

Ja, dat is wel een hele andere vraag die er nu wordt gesteld.

Maar ik kan niet anders. Kijkers mogen vragen stellen.

Ik kan hem heel goed uitleggen. Wat we zien in ons afnemerveld of ons klantenveld...

is dat er partijen zijn, met name software partijen...

die hebben enorm veel dienstverleners als klant.

Stel je maar gewoon voor, je hebt een softwarepakket als huisarts.

Maar die software leverancier heeft wel duizenden huisartsen...

in z'n klantenportefeuille.

Wij leveren een DigiD-aansluiting aan de huisarts, niet aan een softwarepartij.

Daar leveren we het Burgerservicenummer af.

Als je die allemaal individueel wil aansluiten, dat zou nogal wat betekenen.

Bij elke aansluiting hoort een assessment, dat zit in die veiligheid.

Wat we nu hebben bedacht, om dit mogelijk te maken...

want met name in de zorg willen we graag dat de dossiers omsloten worden...

is een speciaal soort aansluiting, die wordt ook beschikbaar in de CombiConnect...

om het maar even ingewikkeld te maken...

en dat noemen we de zogenaamde clusteraansluiting.

Dan kun je de aansluiting bij de softwareleverancier houden.

En die heeft z'n software zo ingericht dat ie allemaal logische aansluitingen...

Dus als al die huisartsen bij dezelfde softwareleverancier zitten...

krijgen ze via die software een DigiD aansluiting.

Globaal is dat zo, maar dan moet je die softwareleverancier gaan assessen.

Precies, want als daar een hacker binnenkomt, zijn de rapen gaar.

Precies, en dat is dat meervoudige assessment waar deze vraagsteller op doelt.

Maar dan zijn we er nog niet, dit is de uitleg.

De vraag was: Hoe bevalt het? -Ja, volgens mij bevalt dat heel erg goed.

Steeds meer software aanbieders, met name in de zorg, zijn aangesloten...

middels die clusteraansluiting en dan wordt het meervoudig assessment toegepast.

Kan dit echt helpen om de administratiedruk in de zorg te minderen?

Ik leid veel zorgcongressen en de grootste klacht is:

Alles wat u bedenkt, is alleen maar meer administratie.

We moeten het misschien andersom zien. Hadden we dit niet geregeld...

had elke huisarts elk jaar een assessment moeten inleveren.

Dan is het antwoord op mijn vraag: Ja. -Ja, zeker.

Want jullie gaan gewoon een dubbeldik assessment doen bij de softwareleverancier.

Maar hoeveel van die softwareleveranciers moet je dan assessen?

Ja, dat zijn er al gauw tientallen, maar dat is heel divers.

Dat scheelt een hoop met duizenden.

Krijgen die ook een dikker assessment? =-de assessments zijn Voor iedereen gelijk.

Ik denk even hardop, achter hen zitten honderden huisartsen.

Ja, maar we vinden ook dat als je maar één aansluiting hebt...

dat dat ook gewoon echt goed moet zijn. Dus die lat ligt, ook voor ons even hoog.

Wij moeten zelf ook voldoen aan die voorwaarden.

Terug naar CombiConnect, want Martijn vraagt:

Wordt eIDAS ook meegenomen in CombiConnect?

Nee, eIDAS zit nog niet in CombiConnect.

In de toekomst, of maakt dat niet uit?

Daar is binnen de wet- en regelgeving nog veel discussie over.

Over hoe dat eruit moet gaan zien in de nabije toekomst.

En dan de vertaling naar de uitvoering, hoe we het gaan inregelen voor je.

Koppelvlak CombiConnect, wanneer moet dat beschikbaar zijn?

Nou, eigenlijk bestaat het al, want de vraagsteller vroeg er natuurlijk naar.

Die zei: Hoe bevalt het? -Nou, ik hou het een beetje eenvoudig.

In het zorgdomein is ie er eigenlijk al en voor de overige domeinen...

is ie er technisch ook al, maar we zijn nu het aansluitproces...

van partijen op die CombiConnect nog aan het beproeven en aan het fijnslijpen.

Het is natuurlijk heel link om data te noemen.

Ik hoop dit jaar nog. =-dat zou mooi zijn.

En dan maken we dat natuurlijk weer kenbaar in die Logius app.

De veranderingen die plaatsvinden. =-Let tegen de kerst op je Logius app.

Herziening van de voorwaarden, noemde jij even, Kevin.

Maar hoe dragen die dan bij aan veiligheid?

Nou, een voorziening moet natuurlijk niet op aansluitvoorwaarden draaien.

Maar als je gebruik maakt van een voorziening...

dan draagt het wel bij aan hoe een afnemer zelf...

allerlei zaken moet configureren en om moet gaan met die aansluiting.

Nou, we hebben net gehoord, DigiD is volwassen geworden, 18 jaar.

En ook die aansluitvoorwaarden ontwikkelen daarin mee.

Er zijn eigenlijk twee punten, BSN-recht en afgeleide toegang...

die echt meer in de aandacht moeten komen.

Jullie hebben een analyse gemaakt van die voorwaarden om aan te sluiten...

en gedacht: Er zijn twee thema's waar ik even naar moet kijken.

De twee thema's die we vandaag even willen toelichten. Er zijn nog wel meer punten.

Wat is dat dan, BSN-recht?

BSN-recht geeft eigenlijk aan dat als je het BSN-recht hebt als organisatie...

dus je mag als overheidsorganisatie het BSN gebruiken.

Wat je uiteindelijk ook van DigiD krijgt. Dan heb je het recht om DigiD te gebruiken.

Tot nu toe is dat een soort zelftoets geweest.

Een organisatie kijkt naar de voorwaarden. Mag ik dit wel, mag ik dit niet?

En die bepaalde zelf of hij dat mocht.

Dat levert natuurlijk weleens vragen op of discussies.

Of vragen van afnemers aan ons, mogen wij eigenlijk dat DigiD wel gebruiken?

Dat is voor ons heel lastig om te beoordelen.

Omdat wij de aansluitende organisatie niet goed kennen.

En we juridisch gezien niet weten wat iemand wel en niet mag.

En we hebben dat nu aangescherpt eigenlijk, zou je kunnen zeggen...

door een onafhankelijke toets te maken. Dus die zit niet bij ons of bij de afnemer.

Maar die laten we doen door RVIG, Rijksdienst voor Identiteitsgegevens.

Die hebben een lijst, die heet de ALB, Autorisatielijst BSN-gerechtigde partijen.

En als je op die lijst staat, weten we zeker dat jij als organisatie...

het BSN mag gebruiken en dat je dus ook mag aansluiten op DigiD.

Je moet dus op de lijst komen? =-je moet op de lijst komen.

En wij zorgen ervoor dat zodra iemand bij ons een DigiD aansluiting aanvraagt...

checken wij dus of je op die lijst staat.

En van de huidige afnemers wordt gecheckt of ze op de lijst staan?

Die worden ook gecheckt inderdaad. =-is Er weleens een die Er niet op staat?

Die zullen er ongetwijfeld zijn. We doen uiteraard vooraf wel een beetje een toets.

Daarom hoeven we ook niet gelijk in paniek te raken.

Wij beginnen met de partijen die een nieuwe aansluiting op DigiD willen.

Voor die partij gaan we checken of hij op die ALB lijst staat.

Voor de bestaande partijen gaan we kijken hoe we die op een goede manier...

daarheen kunnen brengen, want de meeste van onze aangesloten partijen...

kunnen op die lijst komen als ze er nog niet op staan.

We begrijpen dat dat een proces is waar je even doorheen moet.

Dus we zeggen niet zomaar ineens: Je moet er nu op staan.

Anders sluiten we je DigiD aansluiting af. -Precies, dan heb je dus de RVIG.

Dus een externe organisatie, die gaat dan dus toetsen.

En die gaan een assessment afnemen om op die lijst te komen.

Externe organisatie, collega organisatie. =-Het is een overheidsorganisatie.

Maar goed, buiten jullie organisatie. -Ja, eens.

Verwacht je daar veel gedoe mee, dat de organisaties niet op de lijst gaan komen?

Ja, dat vind ik een goede vraag.

Ik heb daar eigenlijk nog geen beeld van. Er is een voortoets gedaan.

Ik verwacht, we zouden geen overheid zijn zonder gedoe...

maar ik verwacht er niet heel veel extra gedoe van.

Het merendeel zal daar gewoon klakkeloos op kunnen komen.

Wij voorzien geen problemen, maar we hebben ruim 700 partijen aangesloten op DigiD...

dus er zal ergens wel een randgeval naar voren komen.

Dan kunnen we het in de volgende talkshow over het randgeval hebben.

Afgeleide toegang was het tweede waar je even over sprak.

Dat heeft alles te maken met die vijfcijferige pincode die ik net noemde.

Wat gaat daar veranderen dan? =-we noemen dat afgeleide toegang.

We zien vaak dat zodra afnemers van ons gebruik maken van een app...

daar is die app weer, om DigiD te ontsleutelen...

dan doen ze dat vaak eenmalig met DigiD als een soort activatieproces.

En daarna mag je dan met de pincode van de afnemer gaan inloggen.

En dat betekent dat je op zo'n moment van inloggen niet meer langs DigiD komt.

En wij van DigiD vinden uiteraard dat wij onze klanten moeten beschermen.

Onze burgers moeten beschermen en ervoor zorgen wij degenen zijn...

die dat authenticatieproces doen.

En we zien dat dat bij heel veel apps nu niet het geval is.

Ik benoemde net al de Berichtenbox app, daar gaat dat keurig.

Eigenlijk ziet de Berichtenbox app dat de DigiD app op de telefoon staat.

Je toets de vijfcijferige pincode in, maar dan in de DigiD app.

En daarna ben je binnen, dus de gebruikerservaring is hetzelfde.

Maar je komt altijd langs ons, langs DigiD.

Dat is eigenlijk ook dezelfde ervaring als op het web.

Zodra je met je pc of je laptop gaat inloggen...

en je gaat naar een site van een afnemer, maak je een uitstapje naar DigiD...

om daar je authenticatie te doen en je komt daarna weer terug bij de afnemer.

Dat is wat je wil. =-dat is Wat we willen.

Maar er zijn ook constructen waarbij je, als je de tweede keer ergens inlogt...

niet meer langs de app hoeft. =-Dan kom je niet meer langs ons.

Zodra je een eigen pincode hebt in een app van een afnemer.

Wij willen wel graag dat je langs ons komt...

zodat wij de garantie kunnen bieden dat de juiste persoon inlogt.

Want je wil geen fraude of allerlei onmenselijke situaties in de hand werken.

En als je ooit een keer ingelogd bent geweest.

Je bent één keer ingelogd, toen je langs die app ging...

maar daarna nooit meer. Dat maakt het gewoon een stukje...

Precies, en dat noem je dus die afgeleide toegang en dat gaat dan dus veranderen.

Dat gaat veranderen. En per wanneer is dat uitgefaseerd dan?

Dat zit in onze nieuwe voorwaarden. Dus als je een nieuwe aansluiting hebt...

en je wil ook met een app aan de slag, gaat dat voor jou gelden als partij.

En voor de bestaande partijen? =-Gaan we één-op-één contact zoeken...

en zorgen dat we in gesprek gaan. Ook hier geldt dat we niet opeens gaan eisen...

dat mensen daarmee ophouden. Het zullen nu zo'n 30 partijen zijn.

dat hebben we ongeveer berekend en daar gaan we mee in gesprek.

En dat voeren we op een nette manier door.

Vandaar dus ook die App2App-toegang die ik al noemde. Dat is nu makkelijker gemaakt.

We willen onze afnemers niet met een heel ingewikkeld proces opschepen.

Zorgen dat dat goed en soepel zal verlopen. -Kevin Ronkes, Roel Vaessen, dank je wel.

Er komt een hoop op ons af en volg de Logius app...

want voor de kerst komen de pushberichten. Dat heb ik geleerd.