Main content
Roadshow 6 oktober 2022
'Hoe draagt de Logius dienstverlening bij aan de veiligheid van uw organisatie?'
Het centrale thema van deze Roadshow was informatiebeveiliging. We gingen in op de ontwikkelingen bij Logius en het toenemend belang van informatiebeveiliging.
Terugkijken
U kunt deze Roadshow hieronder in z'n geheel terugkijken. Of kijk één van delen over een specifiek onderwerp.
- Logius Roadshow - oktober 2022 (helemaal)
- Algemene introductie
- De bijdrage van Logius aan de informatiebeveiliging van haar afnemers
- Een veilige infrastructuur met Diginetwerk
- Afspraken in de keten om veiligheid te garanderen bij Gegevensuitwisseling
- Aangepaste aansluitvoorwaarden voor DigiD en Machtigen en het nieuwe CombiConne…
- Verplichte tweefactorauthenticatie bij MijnOverheid en het UWV
Logius Roadshow - oktober 2022
- Download in MP4 HD formaat MP4 HD | 909.4 MB
*Muziek speelt*
Titel in beeld: Remote Roadshow oktober 2022
Een welgemeend goedemiddag. Fijn dat u kijkt.
Van harte welkom bij de Logius Remote Roadshow.
De tweede alweer van dit jaar.
En niet onbelangrijk, namens Logius heet ik u zeer welkom.
Mijn naam is Maarten Bouwhuis, dagvoorzitter, talkshow host.
Fijn dat je kijkt. De komende anderhalf uur gaan we met elkaar aan de slag.
En er is nogal wat te bespreken. Denk aan tweefactorauthenticatie.
Denk aan de DigiD en alle ontwikkelingen daaromtrent.
Denk aan het Diginetwerk, maar denk ook aan het afsprakenstelsel en nog veel meer.
Ik heb een prachtige keur aan tafelgasten die hier bij mij aan tafel komen...
om al die onderwerpen te bespreken. En dat doen we natuurlijk samen.
Het is een webinar, dus het is interactief. O, wat is dat fijn.
Dus aan de rechterkant van je scherm zie je de chat.
Gebruik die chat. Het is een open chat. Stel vragen, reageer.
Collega's van Logius zitten achter de schermen ook klaar...
om al jouw chatvragen te beantwoorden.
En de beste vragen komen natuurlijk bij mij op tafel, op de iPad...
om ook te stellen aan de gasten in de uitzending.
Een hoop te doen. Laten we maar lekker snel aan de slag gaan, zoals gezegd.
Fijn dat je kijkt.
Bij mij is aangeschoven Geert Nederhorst, Directeur Strategie en Regie van Logius.
Geert, Goedemiddag. -Goedemiddag, Maarten.
Ja, de Roadshow. De tweede alweer van dit jaar.
Belangrijk om dat te doen voor jullie hele netwerk?
Ja, absoluut. Het is een enorme kans om met onze omgeving...
dat zijn onze gebruikers, eindgebruikers, onze afnemers...
maar ook onze private partners te praten over de ontwikkelingen van en bij Logius.
En met elkaar het gesprek te voeren over de domeinen die wij met elkaar bedienen.
Denk aan gegevensuitwisseling, toegang, stelsels en standaarden en infrastructuur.
Dat doen we graag aan de hand van een centraal thema.
Als rode draad door deze Roadshow heen.
En dit keer hebben we gekozen voor veiligheid.
Veiligheid is het centrale thema waar we het vandaag over gaan hebben.
Dat lijkt me voor een bedrijf als Logius ook een centraal thema in wat jullie doen.
Absoluut. Logius gelooft erin dat de overheid veilig en betrouwbaar moet zijn...
als je met elkaar zaken doet. En daar hebben wij een belangrijke rol in.
Voor mij als host, ik heb in deze studio, wat echt een corona-studio is...
veel webinars mogen hosten. De congressen zijn weer aan...
maar het is fantastisch om in 1,5 uur tijd zoveel onderwerpen te kunnen bespreken.
Met meer dan duizend kijkers die niet ergens naartoe hoeven te rijden.
Dus eigenlijk is het voor Logius volstrekt logisch om het online te doen.
Ja, precies. Ik had het niet beter kunnen verwoorden.
Een mooi middel om met onze omgeving in contact te zijn.
Daarom zijn we ook interactief, wat je net aangaf.
We willen ook met elkaar hierna...
deze Roadshow als opmaat om met elkaar in contact te komen.
Om de ambities die we als digitale overheid hebben met elkaar te bespreken.
En aan de hand van het thema veiligheid...
de uitdagingen die we hebben ook op te lossen.
Ambities van de overheid qua digitalisering...
zijn ook vertaald in een Staatssecretaris voor Digitale zaken.
Daar gaan we dus wel wat van merken in Nederland, want dat is uniek, toch?
Ja, absoluut. Alexandra van Huffelen, onze staatssecretaris...
heeft digitalisering in haar portefeuille en ook in haar functietitel.
En het is heel gaaf om te zien dat de opgave die we hebben als Nederland...
digitalisering kent heel veel kansen, maar ook een aantal uitdagingen.
Een coördinerend bewindspersoon als Alexandra van Huffelen...
stelt ons in staat om aan de hand van een regeerakkoord...
maar ook een werkagenda die zij nu aan het maken is...
samen met beleid en uitvoering te kijken naar wat er op ons afkomt.
Wat staat daarin? Heb je al een tipje van de sluier?
Laat ik het omdraaien. wat ben jij erin aan het schrijven?
We kijken vooral, wat hebben we aan componenten beschikbaar als Logius...
om de ambitie die we samen aan het opschrijven zijn ook vorm te geven?
Dan moet je denken aan de digitale overheid.
Logius is verantwoordelijk voor gegevensuitwisseling...
stelsels en standaarden en toegang. DigiD noemde je net al.
Belangrijke middelen die onze samenleving in staat stellen...
om zaken te doen met de overheid.
Waarbij burgers en bedrijven erop mogen vertrouwen dat het ook veilig kan.
Ja, precies. Maar zo'n staatssecretaris gaat dus beleidsontwikkeling...
Je zei net in een bijzinnetje, het staat ook in haar functietitel.
Maar dat zijn in Den Haag toch belangrijke details.
Ja, dat is wel erg prettig. =-Want dat maakt dat er...
dat jullie meer impact kunnen maken.
Dat en een coördinerend bewindspersoon stelt ons in staat om het samen te doen.
Dus Alexandra van Huffelen heeft de taak om met alle departementen en beleidsmakers...
de digitaliseringsparagraaf zoals die in het regeerakkoord staat...
om te zetten in klinkende resultaten die eindgebruikers, burgers en bedrijven...
die de digitale overheid gebruiken voor hun dagelijks leven, want zo moet je het zien...
daadwerkelijk vorm te geven.
Want digitalisering stopt niet bij de grens van je organisatie.
Digitalisering kent geen grenzen.
Dus het is prettig dat een bewindspersoon dit integraal vanuit een perspectief oppakt.
En wat betekent dat voor Logius? Want we gaan vandaag 'n aantal dingen behandelen...
die ook binnenkort daadwerkelijk ingevoerd gaan worden, veranderingen.
Die komen eigenlijk al hieruit voort?
Logius kent natuurlijk een aantal dingen die we gewoon vanuit...
We zijn een beheerorganisatie voor vitale dienstverlening.
DigiD is er een van, MijnOverheid, de Berichtenbox.
Maar ook bijvoorbeeld Digipoort die op jaarbasis miljoenen berichten verwerkt...
tussen ondernemers en de overheid.
Voor ons betekent dat dat wij samen met beleid...
onze staatssecretaris en uitvoeringsorganisaties in de keten...
gaan kijken hoe we de plannen die nu worden gemaakt ook echt kunnen realiseren.
En de dienstverlening voor Nederland nog beter maken.
Maar tegelijkertijd zijn jullie natuurlijk ook de voeding van hoe 't beter zou moeten.
Dat, en we zijn eigenlijk ook de beperking, zeg ik daar eerlijk bij.
Want je moet ook kijken naar de uitvoerbaarheid ervan.
Het plan is goed. En met elkaar kijken wat er nodig is om die plannen uit te voeren.
Dat zal de komende tijd onderwerp van gesprek zijn.
Is dat ook prettig, dat je als, laten we zeggen inhoudelijke overheidsorganisatie...
af en toe even de rem moet zetten op de politieke ambities?
Dat is een goeie vraag. =-Want de politiek wil altijd sneller.
Die denken in drie woorden even een plan te lanceren.
Ja. =-Dan zeggen jullie: Het moet wel kunnen.
Klopt allebei. Een plan lanceren is heel erg goed, zeker als het met elkaar is.
En het is ook goed om te toetsen op uitvoerbaarheid en haalbaarheid...
omdat je ook aan degene voor wie we het doen...
burgers en bedrijven die deze dienstverlening willen gebruiken...
dat het ook daadwerkelijk voor hen gebruikt kan worden.
Ja, maar het is prettig om die snelheid dus niet te hoog te hebben.
Anders krijg je gekke dingen. De overheid wil een belastingmaatregel aanpassen.
En de Belastingdienst zegt: Dat kan pas in 2025 en dan wordt iedereen weer boos.
Maar als ze hadden geluisterd naar de Belastingdienst...
had je misschien die clash niet gehad.
Precies. Dus met elkaar in dialoog komen tot goede plannen...
tussen politiek, beleid en uitvoering is essentieel.
En de komende periode gaan we daar met elkaar vol voor.
Even naar veiligheid kijken, dat is het centrale thema.
Dat heb je vandaag centraal gezet.
Welke rol speelt veiligheid dan binnen wat jullie als Logius allemaal doen?
Logius gelooft dat de dienstverlening die we aanbieden...
voor iedereen overal bruikbaar en toegankelijk moet zijn.
Inherent daaraan is de belofte aan je eindgebruikers dat 't ook veilig is.
En dat is ook iets wat ons motiveert. Als een eindgebruiker daadwerkelijk weet...
of hij nou DigiD of MijnOverheid gebruikt en het is veilig en betrouwbaar...
dat geeft 'n enorme impuls om daadwerkelijk met elkaar een stap harder te zetten.
Het is voor ons niet nieuw en veiligheid kent ook heel veel verschijningsvormen.
Dat gaan we vandaag in de Roadshow ook zien.
Er zijn veel perspectieven op dat thema.
Dat maakt het een heel interessant en boeiend thema...
om met elkaar de dialoog over te voeren. En af en toe dus ook buitengewoon complex.
Wat mij ingewikkeld lijkt, vanuit jullie perspectief...
jullie doen met 600 collega's zo ongelooflijk je best...
om die digitalisering voort te drijven, zullen we maar zeggen.
En dan krijg ik een appje van de Belastingdienst, een sms'je.
Daar staat in dat ik te laat ben met betalen.
Dit is het nummer en ik moet nu betalen. Klik hier.
Ik mag soms dit soort talkshows leiden, dus ik denk: Volgens mij klopt dit niet.
Dan ga je googelen en is het een phishing sms.
En dan denk ik: Als mijn ouders die sms maar niet krijgen.
Dat is een clichébeeld, maar dat.
Is dat frustrerend? Dat je als organisatie zo je best doet om dat land in te richten.
En dat er altijd van die actoren zijn die maar...
terwijl jullie iets slims maken, met dezelfde slimheid dat willen verstoren.
Het is en-en. Allebei klopt en wat wij proberen te doen...
daarom zeg ik ook het aantal perspectieven op veiligheid als thema is uiteenlopend.
Maar dit gaat over het creëren van awareness...
waarbij mensen die het gebruiken er door ons op worden gewezen...
dat het ook veilig kan gebeuren.
Een simpel voorbeeld is gebruikersnaam en wachtwoord voor DigiD.
Dat is heel praktisch en tegelijkertijd minder veilig.
Jij verwijst nu naar een linkje in een app, dan gaat het over goede voorlichting.
En dat is minstens zo belangrijk als het inrichten van...
een security office center bij Logius...
als het gebruik van internet beveiligingsstandaarden.
Je hebt eigenlijk alle perspectieven nodig om het echt veilig te maken.
En is het af en toe frustrerend? Ik denk het wel.
Tegelijkertijd zorgt het ervoor dat we het werk hebben wat we hebben.
En dat is heel leuk om te doen.
Want het betekent wat voor de dienstverlening van Logius...
als je gaat nadenken over veiligheid.
Daar zul je dus je dienstverlening op moeten aanpassen. Het zit overal in.
Het zit overal in. -Ja, precies.
Hebben we genoeg gezegd over veiligheid? =-Voor nu wel.
Dan ga ik daar verder induiken aan tafel.
Maar dan eerst nog even naar DigiD, want dat vind ik toch wel leuk.
Ik wil graag een feestje met je vieren.
En ik heb een klein dealtje gemaakt met onze technicus achter de schermen.
Dat is namelijk, DigiD bestaat vandaag achttien jaar.
Nou, dat is volwassen en er is confetti.
Er zit confetti op je schouder. Ja, precies.
Geweldig. =-Maar DigiD is volwassen.
Achttien jaar, maar dat is toch mooi? -Het is een mijlpaal. Absoluut, Maarten.
En het is ontzettend leuk om te zien...
dat DigiD is verworden van een applicatie...
die in 2005 burgers in staat stelde om digitaal zaken te doen met de overheid...
is verworden naar een essentiële dienstverlening in 2022.
We hebben momenteel ongeveer 550 miljoen authenticaties te verwerken op jaarbasis.
Dat is een ongelooflijk aantal. 19 miljoen mensen...
Sorry, 17 miljoen mensen hebben een account op DigiD.
Dus DigiD is niet meer weg te denken uit het maatschappelijk verkeer.
En het is heel gaaf om daar vanuit Logius een bijdrage aan te leveren.
Dus één miljoen Nederlanders hebben nog geen account? Dat zijn natuurlijk baby's.
Die tellen niet mee. Alles onder de 18 heeft in principe geen account.
Maar er zijn dus een aantal mensen die nog geen account hebben.
Maar wie wel een account heeft, maakt daar succesvol...
en ook op plezierige wijze gebruik van. Ja, ongelooflijk.
Nou, corona, je zegt onder de 18. Corona was echt 'n trigger bij ons thuis...
om DigiD voor de kinderen aan te maken.
Want dan had je veel sneller de uitslag van je test.
Dus we gingen naar de teststraat en dan moest de hele klas weer...
Dit heeft iedereen meegemaakt. Moest de hele klas door de teststraat...
en iedereen met DigiD stuurde binnen één, twee uur een appje in de klassenappgroep:
Nou, negatief. En iedereen zonder DigiD moest een dag wachten op een telefoontje.
Dan voelde je echt het verschil in tijd. -Ja, klopt.
En daar is het gebruik van DigiD ook enorm mee gestimuleerd.
En nu is het gebruik van DigiD niet meer weg te denken uit onze maatschappij.
En ik hoop dat we er de komende tijd veel plezier van gaan hebben.
Maar, daar gaan we het vandaag over hebben, moet DigiD veiliger worden.
Absoluut. De balans tussen gebruiksgemak en veiligheid komt nadrukkelijk aan de orde.
Ja, want als je online identiteit gestolen of gehackt wordt...
heb je als burger wel echt een probleem. -Dat is een uitdaging, ja.
Geert Nederhorst, mag ik jou danken voor de aftrap van deze Remote Roadshow?
Dank en heel veel plezier, Maarten. En we gaan het zien vandaag.
Ik duik de diepte in.
En als we dan die diepte induiken, dan gaat het uiteraard over veiligheid.
Want zoals aangekondigd, dat is het centrale thema van deze Roadshow.
En gaat het dus over informatiebeveiliging en die relatie met veiligheid.
Theo van Diepen is Chief Information Security Officer.
Oftewel de CISO van Logius. Dag Theo. -Dank je wel. Dag, Maarten.
Ja, fijn dat je er bent. We gaan het over veiligheid hebben. Jij ademt veiligheid.
Dat zou moeten, ja. Dat is een soort passie.
Op heel veel congressen gaat het over veiligheid.
En uiteindelijk zegt iedereen: Bij de Starbucks start ik ook m'n computer op.
En dan ga ik even op het wifi-netwerk. Jij zou dat nooit doen.
Nou, dat hangt ervan af. Dat kan een bewuste afweging zijn.
Maar ik denk ook dat je niet moet vermengen in wat je zelf doet.
Dat kan een bewuste afweging zijn en de taak die wij als Logius hebben..
We mogen niet een afweging maken voor 17 miljoen burgers.
Dus ik zit af en toe met een pet op, wat doe ik zelf...
en wat moeten we met onze voorzieningen voor Nederland doen?
Dat begrijp ik, maar ik hoop...
dat degene die aan veiligheid werkt voor Logius zelf ook veilig is?
Ik denk dat het bij deze loodgieter thuis niet lekt.
Dat bedoel ik. =-dat denk ik.
Wat doet de CISO dan? De Chief Information Security Officer?
Thuis zit alles op orde. Eigenlijk is het is heel saai om dat te vertellen...
maar ik stel kaders en ik adviseer en ik toets.
Dat klinkt natuurlijk allemaal wat hoog over en het gaat heel erg om processen.
Maar eigenlijk organiseer ik informatiebeveiliging binnen Logius.
Dat doe ik niet alleen. Ik ben geen superspecialist...
die bij Digipoort, DigiD en bij Diginetwerk en bij alle Digi-diensten die wij doen...
binnenkomt en kijkt of het allemaal veilig is en er allemaal hackers op afstuurt.
Maar we zijn een behoorlijke organisatie met veel dienstverlening.
Binnen die dienstverlening maken wij gebruik van IB-specialisten.
Dat is een soort netwerk waarmee ik in contact sta.
Dus eigenlijk stuur ik dat inhoudelijk aan. Dat moet binnen de kaders gebeuren.
En dat is eigenlijk mijn job en daarnaast heb ik...
ongelofelijk veel contact met heel veel partijen binnen en buiten Logius.
Maar het boeiende is, je houdt ook toezicht.
Ja, dat is wel een rol. =-Dus je kijkt ook...
naar de diensten die Logius aanbiedt en je vraagt je af: Is dat nou veilig?
Maar tegelijkertijd heb je daar zelf de kaders voor gesteld.
Ik vind dat ingewikkeld in mijn hoofd. De slager die zijn eigen vlees keurt.
Ja, zo lijkt het. Maar het zit net iets anders in elkaar.
Dat hoop ik te kunnen uitleggen. =-dat lukt je vast.
We werken eigenlijk met een soort model waarin de operatie...
bepaalde maatregelen neemt binnen die dienstverlening.
Dus we gaan het straks onder andere over tweefactorauthenticatie hebben.
Dat is een maatregel binnen die dienst en die maakt dat dan mogelijk.
Ik stel een kader en dat zegt: Ik vind dat voor toegang, voor een beheerder...
voor een bepaalde applicatie of een bepaalde dienst van ons...
die moet altijd met tweefactor inloggen. Dat is een kader dat ik stel.
En wat ik dan vervolgens doe, is toetsen of dat wel waar is.
Maar om te toetsen of mijn kaders wel kloppen, is er ook nog een derde lijn.
En die kent iedereen wel als de Auditdienst Rijk, de ADR.
We hebben ook nog een Rekenkamer die allerlei onderzoeken doet.
Dus daar heb ik ook mee te maken. En ik probeer ook...
Ik had het in het begin al over die petten.
De adviserende rol bij mij is omdat ik ook wel over de inhoud ga...
maar ik probeer het dus geen ivoren toren te laten zijn.
Maar ik probeer vanuit mijn tweedelijnsrol de eerste lijn daarin te ondersteunen.
Even eerlijk, tussen jou en mij, wat vind je het leukst?
Gewoon die inhoudstijger zijn of toch een beetje...
die organisatie proberen te helpen, meer op afstand?
Het is leuk dat je dat vraagt, want ik leef echt op de inhoud.
En ik ken ook echt wel CISO's in het hele CISO netwerk, die leven niet op de inhoud.
Die vinden de inhoud interessant, want daar draait het om, vind ik natuurlijk...
maar die leven echt op die organisatie omdraaien.
Wat ik mooi vind, is dat je op basis van die inhoud...
toch de organisatie ook een beetje kunt kneden, een beetje dingen kunt meegeven.
Laten we daar eens naar kijken. Je komt met een advies bij het directieteam.
Dan moet er dus strenger worden ingegrepen als het gaat over beveiliging.
Ik roep maar wat, er moeten nieuwe kaders komen.
Dat lijkt me complex en het kost altijd heel veel geld.
Dus jouw boodschap is meestal: extra mensen erbij.
Nou, dat kan een boodschap zijn. Maar die boodschap bestaat...
Ja, ik kom altijd met een grote glimlach heel veel slecht nieuws brengen.
Dat lijkt zo, maar dat is niet helemaal zo...
want volgens mij hebben wij als Logius met zoveel afnemers en zoveel mensen...
jij en ik, die ook als burger onze dienstverlening gebruiken gewoon een taak.
Dus dat biedt ook gewoon kansen.
Dus ik denk ook dat, even als voorbeeld, DigiD is een hele bekende.
Die wil ik niet steeds als voorbeeld gebruiken, want we zijn meer dan DigiD.
Hoewel DigiD het op een verjaardagsfeestje altijd goed doet, in bekendheid.
Maar als wij het hebben over DigiD, dan is dat een inlogmiddel...
voor meer dan 3000 organisaties op dit moment.
Ik denk echt dat je beter één goed middel kunt gebruiken dat je goed beveiligt...
dan dat je op 3000 plekken allerlei losse inlogmodules...
En is het dan ook jouw rol en taak om...
laten we zeggen, de bedreigingen van buitenaf goed te monitoren?
En de organisatie daar goed op voor te bereiden?
Of dat nou nieuwe trends zijn in ransomware of in DDoS-aanvallen of op allerlei....
De oorlog in de Oekraïne en de spanning met Rusland is ook een cyberoorlog.
Dat lezen we niet in de krant, maar we weten achter de schermen dat het gebeurt.
Is dat ook waar jij je dan mee bezighoudt?
Het is in ieder geval een onderwerp waar ik me ook druk over maak.
Ik kan dat niet in m'n eentje doen.
Dus een onderdeel, Geert gaf net al even aan bij de intro...
dat we ook een Security Operations Center hebben zitten.
Dat zijn de partijen die eigenlijk dagelijks...
naar die dreigingen kijken die op ons afkomen.
Ik vervul zelf de rol met het Nationaal Cyber Security Center, het NCSC...
dat is het Computer Emergency Response Team voor Nederland, het CERT.
En zij houden vitale organisaties en Rijksoverheid...
wij vallen eigenlijk onder beide punten...
die houden zij op de hoogte van onder andere de oorlog in Oekraïne...
en wat dat voor ons kan betekenen. Daar kunnen wij op acteren...
om alvast preventieve maatregelen te nemen.
En is dat nou sinds het uitbreken van de oorlog geïntensiveerd?
Nou, als je kijkt naar de oorlog, en ik ben geen oorlogsexpert...
maar als je kijkt naar de adviezen...
dan zie je wel dat er dingen zijn waargenomen en worden waargenomen.
Maar het accent van de oorlog richt zich op dit moment...
nog steeds niet helemaal op cyber en datgene...
althans, het cyberdeel richt zich ook niet per se op bijvoorbeeld Nederland.
Dus er zijn wel actoren om rekening mee te houden...
maar die zijn niet per se anders dan voor de oorlog.
Dus er is een verscherpt toezicht, maar misschien nog niet...
Ja, volgens mij zijn degenen die aan het oorlog voeren zijn...
op dit moment nog drukker met elkaar bezig dan dat ze denken:
We gaan nu naar de Digipoort. =-Het gevoel van de buitenkant.
Dat het echt bijna een soort klassieke eerste wereld grondoorlog is geworden.
Inclusief ongetrainde soldaten.
Ja, even terug naar Logius en veiligheid.
Om dus de dienstverlening van Logius veiliger te maken...
voer je bijvoorbeeld assessments uit. Wat zijn dat dan?
Ja, de assessments, die komen ook uit de DigiD-hoek.
Naar aanleiding van Lektober. Dat was in 2011. Het lijkt al heel lang geleden.
Dat is het ook eigenlijk wel, 11 jaar geleden zijn we daarmee gestart.
En eigenlijk zeggen we met de aansluitvoorwaarden van DigiD...
komen we straks ook nog wel even op terug, denk ik...
daarmee zeggen we: Om van DigiD gebruik te kunnen maken...
moet je aantonen dat je als organisatie zelf ook een bepaald niveau hebt.
Wij verzamelen dan die assessments.
Dus je moet dat als organisatie zelf laten uitvoeren.
Die organisatie laat dat door een, dat heet een Registered EDP Auditor uitvoeren.
Die zet daar z'n handtekening onder, dat is een soort kwaliteitskeurmerk.
Wij ontvangen dat en als je daar niet aan voldoet...
dan heb je een bepaalde tijd om daar wel aan te voldoen.
Maar je zou daarmee dus ook afgesloten kunnen worden van DigiD.
Als je niet voldoet, mag je niet meer meedoen.
Dat is een beetje het idee, ja. Maar dat wil je natuurlijk wel voorkomen.
Het moet ook toegankelijk zijn.
Moet Logius nou een snelle en wendbare organisatie zijn...
om die informatiebeveiliging goed te kunnen uitvoeren?
Of zeg je: Het is ook niet zo erg als, de manier waarop we werken...
is soms ook wel een beetje een groot schip wat langzaam draait.
Ja, dit is een lastige vraag. Wij zijn snel en wendbaar.
We hebben een nieuwe werkwijze. We werken volgens de SAFE methodiek, Agile.
Dat kennen heel veel afnemers ook wel van ons.
We hebben de afgelopen twee dagen een PI-event, een planningevent...
Ik probeer de afko's te vermijden.
Doe je best, aub. -Ja, precies. Will do.
Maar het idee met die planningevents...
is om heel snel te kunnen doorontwikkelen. Ik denk dat dat heel goed is.
We hebben ook de mogelijkheid om snel te kunnen doorontwikkelen.
Tegelijkertijd zie je ook dat Logius een stuk groter aan het worden is.
En dat betekent ook dat sommige dingen niet altijd als vanzelf gaan.
En we zijn niet alleen maar dienstverlening aan het doorontwikkelen.
We zijn soms ook gehouden aan bepaalde contracten.
Dan moeten we iets nieuws bouwen en daar staat...
bijvoorbeeld een infrastructuur, daar draait heel veel op en 't kost tijd...
om dat op een niet alleen veilige manier, maar gewoon ook qua beschikbaarheid...
om dat door te migreren, dus...
om op jouw vraag terug te komen, ik neig wel naar het eerste...
maar in de praktijk zie je wel, we blijven helaas soms ook wel een beetje overheid.
Ja, maar de doelstelling is ook, en daar zit jouw werk heel erg in...
om toch een behoorlijk wendbare organisatie te zijn...
die, laten we zeggen ook risicomanagement meeneemt.
Dat betekent dat je de dienstverlening voor ons Nederlanders ook niet...
achter de meest veilige muur kunt zetten, want dan is het onwerkbaar.
En veiligheid is altijd een afweging tussen...
het wel doen, maar het werkbaar houden en het zo veilig mogelijk maken.
Dat zou mijn tekst kunnen zijn, ja. -Ja, ik probeer een beetje mee te denken...
en het allemaal een beetje te begrijpen, ook voor u.
Als we geen verkeersdoden willen, dan moeten we niet meer in de auto stappen.
Maar dan komen we ook nergens. -Nee, ik kom uit de netwerkhoek.
En we zeiden voor de gein: het veiligste netwerk...
is er één waarop je geen gebruikers aansluit. Zo is het wel.
Dus als je kijkt naar de dienstverlening, dan gaat het om een risicoafweging.
En de echte hardcore informatiebeveiliger...
wil het liefst alles dichtzetten, want anders is het niet veilig.
Maar wat zijn dan de risico's voor Logius zelf?
Als je kijkt naar Logius, dan is een heel groot risico...
gewoon echt een grote dreiging waar we met enige regelmaat mee te maken hebben...
dat zijn DDoS-aanvallen en ik wilde de afkortingen vermijden.
Maar die kennen we. =-Heel veel mails tegelijk naar één website.
Ja, het zijn meer dan mailtjes, dat zit heel ingewikkeld.
Dat kennen we een beetje uit de bankentijd van een jaar of vijf, zes geleden.
Maar die tool wordt nog steeds gebruikt?
We kennen het in Nederland vanaf 2013 serieus, dat begon ook met de banken.
En je moet me afremmen, want met dit onderwerp kan ik al 1,5 uur vullen.
Ik bewaak de klok, dat komt wel goed. =-Maar daar kennen we het.
We hebben in 2018, dat is een mooie verschuiving, gezien...
toen kwamen de banken, maar ook DigiD kwam wederom aan bod.
In die tussentijd is het niet weggeweest.
Wat er in de tussentijd wel is gebeurd, is dat er in 2013 werd gekeken:
Zijn er maatregelen getroffen? Nee, dan gaan we je aanvallen.
We hebben maatregelen getroffen. Vanaf 2018 is het een kat-en-muisspel geworden.
Er zijn serieuze maatregelen getroffen...
maar op het moment dat een maatregel niet helemaal lekker werkt...
of bijgesteld moet worden, zie je gelijk, als je daar iets op doet...
dat de aanvaller gelijk een andere aanval...
Dus je ziet een reactie tussen de aanvaller en de verdediger.
En andere vormen van een aanval? Dus phishing mails proberen toch...
individuele medewerkers te hacken om binnen te komen bij Logius?
Phishing mails, dat is ook wel interessant.
Phishing heb je op verschillende niveaus eigenlijk.
Dus je zou kunnen zeggen, ik wil bij Logius binnenkomen.
Je kan natuurlijk naar het pand en kijken of je jezelf naar binnen kan praten.
Maar je kunt ook proberen beheeraccounts te gaan phishen.
Dus dan gaat het echt om mensen. Wat je ook heel veel ziet...
is dat DigiD, dat is een hele sterke merknaam in Nederland...
en dat dan DigiD als merknaam wordt gebruikt om...
ook die gaf je bij de intro al even aan, om mensen geld afhandig te maken bij banken.
En we halen echt letterlijk honderden sites uit de lucht...
waarbij die DigiD als merknaam wordt gebruikt.
En de overheid of Logius heeft de macht om die sites uit de lucht te halen.
Ja, het klinkt als een machtsmiddel, maar wij kunnen dat inderdaad aangeven.
Dan moet de provider hem offline halen. Ja, dat is hoe het werkt.
En hoe snel gaat dat dan? =-Dagen.
Dat kan heel snel en soms duurt het wat langer en dat heeft ermee te maken...
Wij willen geen valide sites uit de lucht halen...
dus er vindt altijd even wat hoor en wederhoor plaats.
Maar ja, zo gaat dat inderdaad. =-Dank je wel. Ik leer bij.
Ik ben blij dat je de digitale kant van onze samenleving probeert te beschermen.
Laten we er maar induiken met alle verhalen die de collega's willen delen.
We beginnen met het Diginetwerk. Jij blijft lekker zitten.
Ik blijf zitten. -Je weet hoe 't werkt bij een sidekick.
Je mag er altijd dwars doorheen. -Ik doe m'n best.
Jij komt er helemaal uit. Tegen jullie zou ik willen zeggen: Doe mee.
Je kijkt naar de Logius Remote Roadshow. Mijn naam is Maarten Bouwhuis.
Als je later bent ingelogd, we zijn het komende uur nog bij je...
om alles te delen waar Logius mee bezig is en dat doen we interactief.
Aan de rechterkant van je scherm zit een chat. Ik zou zeggen, praat mee.
Er zitten ook zes collega's achter de schermen om...
laten we zeggen te helpen te antwoorden en de beste vragen komen bij mij op tafel.
Ik ben heel benieuwd naar jouw vragen voor m'n gasten.
Laten we snel de eerste twee maar gaan voorstellen.
Een veilige infrastructuur met het Diginetwerk.
Daar gaan we het over hebben. Een netwerk waar wel partijen op zijn aangesloten.
Maar als we er niemand op aansluiten dan is het het veiligst.
Alleen heeft het geen zin. Dat heb ik eigenlijk net geleerd.
Sharmie Mahabier is hier bij mij samen met Arjen de Lange.
Zij zijn Adviseur Afsprakenstelsel, dat is Sharmie.
En Adviseur Diginetwerk Arjen. Beide van harte welkom.
Dank je wel. =-Dank je.
Ja, dat Diginetwerk, Arjen, we zeiden het al eventjes.
Dat is dus een netwerk...
waarin jullie dus allerlei partijen in de samenleving hebben verbonden?
Partijen, overheidsorganisaties, organisaties met een publieke taak.
Maar ik denk dat het handig is dat we een filmpje kijken.
Heb je een filmpje bij je? Daar ben ik altijd blij om...
want het had vast 10 minuten geduurd om alles uit te leggen.
Dus laten we maar eens even kijken. Hoe zit dat Diginetwerk in elkaar?
Waar je ook werkt binnen de overheid...
we willen burgers en ondernemers zo goed mogelijk ondersteunen.
Zij regelen hun zaken steeds meer zelf en digitaal.
Zoals het doorgeven van een verhuizing, het aanvragen van een vergunning...
of de aangifte van een geboorte.
Dat brengt een stroom data met zich mee.
Privacygevoelige gegevens die wij als overheden onderling moeten uitwisselen.
Snel en vooral veilig. Daarom is er Diginetwerk.
Om de vragen van burgers en bedrijven goed te kunnen beantwoorden...
moeten verschillende overheidsorganisaties met elkaar communiceren.
Van gemeente tot Belastingdienst, van politie tot waterschap.
Ieder hebben we een eigen taak en werken we samen.
We hebben elkaar nodig en gebruiken vaak dezelfde data van burgers en ondernemers.
Achter de schermen worden deze verzameld, met elkaar vergeleken en gecheckt.
Voor een ogenschijnlijk simpele vraag gaan er dus allerlei lijntjes lopen...
en wisselen we heel veel data met elkaar uit.
Hiervan verwachten burgers en ondernemers dat wij deze aan de achterkant...
op een goede manier behandelen en dat de continuïteit gewaarborgd is.
Het open internet is niet betrouwbaar genoeg voor onze interne communicatie.
Hackers kunnen via internet inbreken in applicaties en voorzieningen...
en privacygevoelige informatie stelen...
of uitwisseling van informatie simpelweg blokkeren met een zogenaamde DDoS-aanval.
Diginetwerk is een besloten en veiligere infrastructuur...
waarbinnen alle aangesloten overheidsorganisaties...
informatie naar elkaar kunnen transporteren.
Maar dan moet je wel aangesloten zijn.
Dit doe je via een eigen gekozen leverancier.
Met een koppeling kom je in Diginetwerk. Dat is dan die achterkant.
Hiermee kun je op een veiligere en snelle manier...
als overheidsorganisaties onderling communiceren.
Diginetwerk is er voor alle organisaties met een publieke taak.
Hoe meer van ons zich aansluiten en gebruik maken van Diginetwerk...
hoe veiliger voor ons allemaal.
Zorg dat je Diginetwerk aansluit en het gaat gebruiken.
Zo zorgen we samen voor een digitale overheid die werkt voor iedereen.
Diginetwerk is een publiek-private samenwerking...
waarover Logius de regie voert in opdracht van het ministerie van Binnenlandse Zaken.
Diginetwerk dus. En ik begrijp dat als u nu kijkt...
en uw organisatie is nog niet aangesloten, maar u zou dat wel willen...
dan is dit het moment om er bovenop te zitten...
want wij proberen alle vragen, wat je eraan hebt, te beantwoorden.
Want dat kan dus, Arjen. Partijen kunnen zich aanmelden.
Hoe meer overheidsorganisaties op dat netwerk komen, hoe beter.
Ja, zo zou je het wel kunnen zeggen.
Eens kijken wat we in het komende kwartier allemaal kunnen behandelen om...
de promotie luister bij te zetten.
Eerst even, Sharmie, er wordt gesproken over een afsprakenstelsel.
Dat ligt er dus onder. Wat is dat dan?
Nou, bijvoorbeeld in de praktijk kunnen we met onze ov-chip kaart op elk station...
gewoon heel gemakkelijk overstappen.
Of met elke willekeurige bankkaart kunnen we bij bol.com iets bestellen.
In de toekomst kun je zelfs met je bankpas in de trein. In Londen kan dat al.
Helemaal handig. =-Kijk eens aan.
Maar ga door. =-dat geeft niet.
En dat het allemaal goed gaat, lijkt zo vanzelfsprekend.
Maar dat is het natuurlijk helemaal niet, want je moet afspraken met elkaar maken.
En die afspraken maak je met verschillende organisaties.
Vanuit de overheid, wetenschap of het bedrijfsleven.
En dat allemaal bij elkaar maakt dat het een afsprakenstelsel is.
Want het zijn eigenlijk nauwe samenwerkingsverbanden.
En maak je vastgestelde eisen en op basis van die vastgestelde eisen...
kom je tot een afspraak. -Juist, precies.
En dat afsprakenstelsel heb jij ook willen toelichten in een klein plaatje.
Dat vind ik leuk, beelden zeggen veel meer dan woorden, dat weten we natuurlijk.
Wat zien we daar dan? -Wat we zien, is aan je linkerkant...
tenminste, voor mij links. =-Voor de kijker ook.
Dan zie je eigenlijk een heel chaotisch plaatje.
Dat zegt eigenlijk, als je geen afspraken hebt, dat betekent ook...
dat elke organisatie een eigen lijntje zou moeten aanleggen.
Of iets voor zichzelf zou moeten regelen. =-Dit is de communicatie in mijn huishouden.
Nou, ik hoop dat je naar de andere kant kan gaan, want dan is het wat geordender.
Als je afspraken met elkaar maakt... -Papa in 't midden. Alle afspraken via mij.
Dat zou misschien een mooie situatie zijn.
Dan hebben we papa niet in het midden, maar een centraal punt.
Aan de voorkant zie je een burger of bedrijf die iets afneemt.
Aan de achterkant zit helemaal niks natuurlijk.
Maar er zijn wel afspraken aan de achterkant gemaakt.
En vanuit een centraal punt, in het midden, loopt het allemaal heel soepeltjes.
Precies, dus je hebt een afsprakenstelsel, dus alle communicatieverkeer...
gaat via dat niet-fysiek centrale punt... -Ja, meer een koppelpunt.
Als je kijkt naar het afsprakenstelsel Diginetwerk, dat heeft een koppelpunt...
koppelpunt publieke sector. Ik moest even nadenken.
En dan kunnen organisaties daarop aansluiten, op dat koppelnetwerk...
en aan de achterkant kunnen ze elkaar allemaal bedienen.
Dus zo'n stelsel heeft grote voordelen voor burgers en bedrijven?
Ja, zeker. Absoluut.
En welke voordelen zijn dat? Want kunnen we dat dan in kaart brengen?
Ja, de meerwaarde, om het even zo te noemen.
De meerwaarde van een afsprakenstelsel zou in dit geval bijvoorbeeld...
efficiëntere samenwerking kunnen zijn, omdat je meerdere partijen samenbrengt.
Dan ga je de belangen zorgvuldig afwegen...
en daardoor heb je dan een efficiëntere samenwerking.
Een ander is de keuzevrijheid die de burger heeft en de marktpartijen.
Want als je meerdere aanbieders hebt, kan je zelf kiezen met wie je in zee gaat.
Als het maar voor je werkt en veilig en betrouwbaar is.
Ja, ik kan me ook voorstellen dat als je samen op een afsprakenstelsel zit...
je niet allemaal hoeft uit te vinden hoe het veilig en goed gaat...
en hoe die afspraken lopen, maar jullie hebben dat een keer uitgevonden...
Ja, dat is ook het gemak, als je het even zo benadrukt, het gemak.
Je hoeft het wiel niet uit te vinden of zelf iets te bouwen.
Je hoeft alleen aan te sluiten en te genieten van de voordelen.
En zo'n afsprakenstelsel, want we gaan praten over Diginetwerk...
maar zo'n afsprakenstelsel ligt eigenlijk onder al die diensten van Logius.
Niet onder allemaal, wel onder een aantal. DigiD is echt een dienst die wij draaien.
Maar als je de DigiD voor bedrijven bekijkt, eHerkenning...
dat is een afsprakenstelsel en daar kan een bedrijf zelf kiezen...
Nou, ik wil bij dat bedrijf aansluiten om mezelf te authenticeren.
Maar dat kan ook via een ander bedrijf. En dat geldt ook voor Diginetwerk.
Maar ik wil niet al het gras wegmaaien voor de voeten van Arjen.
Dat gaan we ook niet doen. Arjen, het Diginetwerk, hoe zit dat dan in elkaar?
Om daar inderdaad op aan te sluiten en ook op Sharmie aan te sluiten...
het is het geordende plaatje.
Dus het was de rechterkant van het plaatje zoals je zojuist hebt gezien.
Waarbij inderdaad een aantal netwerken daarop aangesloten zijn.
Waarachter weer aangesloten organisaties zitten.
Dus je moet het eigenlijk zo zien dat...
die keuzevrijheid er is tussen verschillende aanbieders.
Op het Diginetwerk met een centraal punt, inderdaad het koppelpunt publieke sector.
Wat daar dan in het midden staat van het netwerk.
En waarvoor wordt het gebruikt?
Dan kijk je inderdaad naar de overheidsorganisaties...
die gebruiken dit om gegevens met elkaar uit te wisselen.
Zoals in het filmpje ook te zien was. -Ja, precies.
Want dit draait echt om de overheidsorganisaties.
Alleen zij kunnen op het Diginetwerk.
Overheidsorganisaties en organisaties met een publieke taak.
Daar is het voor bedoeld. En als je vraagt: Wie kunnen er allemaal op...
dan is dat breder dan dat, want dan kom je onder andere ook bijvoorbeeld bij...
commerciële partijen die er ook op aan zouden kunnen sluiten.
Maar dat is wel onder bepaalde voorwaarden.
En dan hebben we het vandaag over veiligheid.
Wat maakt Diginetwerk dan veilig?
Nou, veilig is in dit geval wel een heel belangrijk woord.
Want veilig, dat kunnen wij niet garanderen, die veiligheid.
We zeggen dat het een veiliger alternatief is voor het reguliere internet.
Zo zou je het kunnen zien. En dat komt eigenlijk doordat er...
ook een strikte scheiding is van het reguliere internet.
Dus het is echt een apart netwerk wat er is en dat is besloten.
Dus de partijen die daarop zijn aangesloten, die zijn ook bekend.
Waardoor daar een vertrouwensrelatie is tussen die partijen.
Waardoor we dan op die manier een vorm van veiligheid...
of in ieder geval een veiliger omgeving creëren dan het reguliere internet.
En die veiligheid, dat doe je ook uiteindelijk met z'n allen.
Omdat je ervoor zorgt dat op die manier het netwerk in stand gehouden wordt.
En een bepaalde garantie geeft. =-En Het interessante is...
daarin werken jullie met aansluitvoorwaarden.
Nou komt hier een vraag binnen, die zegt eigenlijk...
die afspraken, onder dat afsprakenstelsel...
zit daar ook de doelstelling van het datagebruik in opgenomen?
Want de eeuwige angst vanuit de AP, Autoriteit Persoonsgegevens en Privacy...
dat er makkelijk uitgewisseld wordt, ook als dat niet in de doelstelling zit.
Dat is interessant. Je bouwt een netwerk en een afsprakenstelsel wat daaronder ligt.
En dan gaan overheidsorganisaties uitwisselen.
Maar moeten we ook iets opschrijven over welke data we mogen uitwisselen...
en wat de doelstellingen zijn voordat verkeerde data van burgers wordt uitgewisseld.
Dat vind ik wel een interessante.
Dat is eigenlijk een vraag voor degenen die gebruik maken van die infrastructuur.
Al zou je Diginetwerk niet hebben...
dan zou diezelfde data over internet getransporteerd worden.
Dat gebeurt nu via Diginetwerk. Dus wij gaan zelf niet over die data.
Dat zijn de afnemers die we in het filmpje hebben gezien.
Die moeten daar zelf dus keuzes in maken.
De snelweg is ook niet bedoeld voor een Ferrari om 200 mee te rijden.
Maar Rijkswaterstaat is niet verantwoordelijk...
voor het feit dat een Ferrari op de snelweg 200 gaat rijden.
Dat is een mooie. Die moet ik onthouden.
Je kunt overigens nergens 200 rijden, want je staat vast, maar dat terzijde.
Maar misschien nog één ding, want je had het daarstraks...
Maar het antwoord op deze vraag is, de bal ligt bij de organisatie.
Die moet nadenken over: welke data deel ik?
De bal ligt niet bij Diginetwerk of het afsprakenstelsel.
En die zou verantwoordelijk zijn voor afspraken met...
de uiteindelijke afnemer van die gegevens die worden uitgewisseld.
Het gaat dan weer over de organisatie die meer medische gegevens heeft...
van mij dan een ander en mogen die medische gegevens worden uitgewisseld?
Nu hebben we met Diginetwerk, om dan die Ferrari er nog even bij te pakken...
je kunt wel met een aardige snelheid over dat Diginetwerk heen...
dus dat is op zich wel goed geborgd.
Wat namelijk vanuit mijn rol interessant is...
dus met mijn CISO-pet stel ik ook de vraag aan m'n collega's:
Dat is leuk, een veiliger alternatief vind ik prima om te noemen...
maar hoe zit het dan als een van die organisaties misschien kwetsbaar is...
en kun je dan niet van het Diginetwerk gebruik maken?
Dat zijn vraagstukken waar ik dan met mijn collega's mee bezig ben.
Want het Diginetwerk op zichzelf is niet per se een veilige infrastructuur.
Het is besloten, maar het is niet dat het pakketje van A naar B...
De Ferrari kan prima van A naar B rijden, ook als het een Ferrari met een bom is.
Sterker nog, is 't relatief iets minder veilig omdat het open is...
tussen de aangesloten organisaties?
Die conclusie zou ik zo niet trekken, omdat juist dus alle partijen...
binnen het netwerk wel bekend zijn, dus we weten welke organisaties zijn aangesloten.
En het internet is open en toegankelijk voor iedereen die maar wil.
Op welke wijze dan ook. Dus in dat opzicht...
Het is een veel kleinere groep...
waardoor het karakter ervan op die manier veiliger is.
Ja. Laten we eens kijken naar de organisaties die al zijn aangesloten.
Dat zijn dus overheidsorganisaties of semi-overheidsorganisaties.
Dienstverlenende organisaties voor de overheid. Welke mis je nog een beetje?
Er zijn inderdaad een paar groepen waarvan we zeggen:
Die zien wij qua aangesloten organisaties nog niet heel veel terugkomen.
Dan moet je denken aan provincies, waterschappen, veiligheidsregio's.
Dat is overzichtelijk. Dat zijn er 12, 23 en 25. Die kun je zo bellen.
Maar je zegt, die mis ik nog.
Daar zit iets in, ook als je kijkt naar een afsprakenstelsel.
Dat het niet direct onze rol is om ervoor te zorgen dat deze partijen aansluiten.
Wij willen dat natuurlijk wel.
Fijn dat we hier de mogelijkheid krijgen om aan te geven, weet dat het er is.
Uiteindelijk zouden zij contact op kunnen nemen met een aantal van de aanbieders.
Eigenlijk voor de aangesloten organisaties.
Die organisaties sluiten niet bij Logius aan...
maar sluiten bij één van de aanbieders aan binnen het afsprakenstelsel.
Zoals? Wat is dan een aanbieder? -Nou, je hebt een aantal overheidspartijen.
Dan kun je bijvoorbeeld denken aan Rijkswaterstaat als een van de aanbieders.
En zo heb je ook nog een aantal andere partijen, bijvoorbeeld...
Dan noem ik ze het liefst ook allemaal en dan wil ik ook heel kort aangeven waarom.
En de reden waarom is dat wij vanuit Logius...
geen voorkeur hebben met betrekking tot de aanbieder.
Wij willen daarin ook geen stelling nemen van welke aanbieder je zou moeten kiezen.
Dus ik noem ze het liefst allemaal. -Je kan ook diplomaat worden, ga verder.
Ja, we willen toch fair zijn. Denk aan VNG, KPN, Equinix...
eGEM, BKWI, Rinus en Rijkswaterstaat.
En die noem je aanbieders. -Ja, koppelnetwerkaanbieders.
En via een van die organisaties kan ik er als provincie of als gemeente op?
Zij leveren het Diginetwerk. =-Zij leveren de digi.
Kijk op de site, want niet elke organisatie levert aan alle overheidsinstellingen.
Maar je zei, er kijken mensen die er nog niet op zitten en die ik erop wil.
Dus je moet het goed uitleggen. Maar je zei ook, er zitten heel veel gemeenten op.
Maar wellicht kunnen ze het meer gebruiken.
Ja, zeker. Ja. Bijvoorbeeld onderlinge gegevensuitwisseling tussen gemeentes...
zou een mogelijkheid zijn.
Je kunt ook denken aan een cloudkoppeling die ze af zouden kunnen nemen.
En ja, het advies richting de gemeentes zou ook zijn:
kijk ook met de aanbieder die je hebt, want alle gemeentes zijn aangesloten.
Dus kijk met de aanbieder die je hebt wat nog mogelijkheden zouden zijn?
Hoe zouden we dit nog meer in kunnen zetten?
Ja, het is soms ook een bewustwording.
Belastingdienst is een ontzettend grote partij.
Ik ben vroeger met de Belastingdienst bezig geweest...
met een Diginetwerkaansluiting in een vorig Logius leven bij mij.
En de ene afdeling wist niet van de andere afdeling dat ze al een aansluiting hadden.
Dus we hadden enerzijds via Diginetwerk allerlei koppelingen lopen...
maar ze hadden met allerlei andere overheidsorganisaties...
echt nog letterlijk fysieke losse koppelingen liggen.
Dat is heel lang geleden en dat is allemaal gemigreerd.
Maar het is dus ook echt een grote efficiëntieslag die je kunt maken.
Dat is nog altijd beter dan het opsturen van USB-sticks, toch?
Ja, dat denk ik wel, ja. -Oké, goed zo.
Die overheidsorganisaties, je noemt steeds overheidsorganisaties.
Zitten er ook niet-overheidsorganisaties op het netwerk?
Ja, er zitten ook commerciële organisaties op het netwerk.
En dat is dan wel juist om de dienstverlener...
Sommige, ik noem maar wat, inderdaad een gemeente...
laat een deel van de dienstverlening doen door een commerciële organisatie.
Maar zo'n commerciële organisatie kan dan alleen aangesloten worden...
via een overheidsorganisatie, dus een overheidsorganisatie moet ook aangeven...
die partij gaat voor mij bepaald werk verrichten...
en daarom zou die toegang moeten krijgen tot het Diginetwerk.
Dus er vindt altijd een check plaats. Het is niet zo dat de bv hier om de hoek...
bij ons kan aankloppen of bij een van de aanbieders aan kan kloppen van:
nou, wij willen graag op het Diginetwerk en zo in dat besloten netwerk komen.
Dat is niet de manier waarop het werkt. =-Juist.
Sharmie, dus als je morgen op kantoor komt...
verwacht je een hele hoop nieuwe, geïnteresseerde berichtjes...
van organisaties die zeggen, dat wist ik helemaal niet. Ik wil meedoen.
Ja, afsprakenstelsel, nooit van gehoord.
Laat ze op onze website kijken, want we beheren er een aantal.
En de collega's na mij gaan er vast nog wel een paar belichten.
En ik hoop andere mensen nog te gaan ontmoeten.
Je gaat straks ook praten over de Logius app.
Een platform waar jullie informatie delen over...
veranderingen in het afsprakenstelsel of wat dan ook in het Diginetwerk.
Dus meld je aan. Dat is volgens mij de oproep, Arjen.
Voor het Diginetwerk, kijk op de website bij welke aanbieders je terecht kan...
of ga met je aanbieder in gesprek. Dat is de oproep.
Sharmie Mahabier en Arjen de Lange, dank je wel voor dit gesprek.
Dank je. -Ja, jij ook bedankt.
En dat betekent dat ik de tafel vrijmaak voor twee nieuwe gasten.
We gaan praten over afspraken in de keten om veiligheid te garanderen...
bij gegevensuitwisseling.
Afspraken in de keten om veiligheid te garanderen bij gegevensuitwisseling.
Meer proceswoorden kan ik in een zin niet uitspreken...
dus ongelooflijk belangrijk dat we hier induiken.
En Theo, dat je me een beetje helpt. Wij kunnen dit samen.
Dat hoop ik, ja. Kijk, ook ik heb m'n beperkingen...
en dat is misschien wel het onderwerp waar ik in eerste instantie minder van weet...
En als je het ingewikkeld vindt, dat is ook helemaal niet erg.
Want er is een chat aan de rechterkant van je scherm.
Je kijkt naar de Logius Remote Roadshow als je net pas bent ingehaakt.
Dit is een interactieve talkshow en dat betekent dat er zes collega's van Logius...
achter de schermen zitten om de chat bij te houden.
En de beste vragen willen ze heel graag doorsturen naar mij.
Dus stel je goede vraag. Thomas Hombergen en René Cham zijn bij mij aangeschoven.
Beide van harte welkom. Jullie zijn Business Consultant Gegevensuitwisseling.
En we gaan praten over die veiligheid van die gegevensuitwisseling.
Waar hebben het dan over als ik het woord gegevensuitwisseling gebruik, Thomas?
Eigenlijk zegt dat het al. Het gaat over uitwisselen van gegevens...
maar dan in digitale zin. -Van wie en aan wie, denk ik dan direct.
Dat is een hele goeie. Logius zit in een keten van deelnemende partijen.
En dat zijn bedrijven, dat zijn overheden, dat zijn ook andere organisaties.
Die wisselen gegevens met elkaar uit.
En Logius biedt daarin voorzieningen, technische voorzieningen...
om dat te ondersteunen. En dan moet je denken aan een Digipoort...
die eigenlijk als een soort postcentrale functioneert.
Digimelding, Digilevering, die met de basisregistraties te maken hebben.
En zoals net al in het voorgesprek...
hebben we ook met afsprakenstelsels te maken bij gegevensuitwisseling.
Stelsel voor Basisregistratie is er een van...
en een tweede voorbeeld is de Standard Business Reporting.
Dat is de nationale standaard om gegevens vanuit bedrijven...
met ons bijvoorbeeld uit te wisselen met de overheid.
Maar ook banken maken gebruik van Standard Business Reporting.
Dus publiek, privaat zitten daar aan tafel.
Als mijn accountant een berichtje stuurt over m'n bedrijf naar de Belastingdienst...
moet dat aan bepaalde afspraken voldoen. =-Ja.
En het kan heel goed zijn dat wij daar een schakel zijn in die keten.
Goed te weten, ik zal het hem zeggen.
Dus daar hebben we 't over. De voorzieningen die jullie aanbieden.
De afsprakenstelsels eronder en de standaarden die van toepassing zijn.
Dat is zeker waar, ja.
Ook standaarden die bijvoorbeeld op de 'Pas toe of leg uit'-lijst staan...
die passen wij toe bij onze voorzieningen.
Een voorbeeld is dan de Digikoppeling-standaard...
waarbij eigenlijk de verpakking van een bericht bepaald wordt.
En daar houden we dan rekening mee. =-Ja. we willen begrijpen Wat dat Dan is...
maar we willen ook leren begrijpen hoe het veilig is.
Want veiligheid is het centrale thema.
Je noemde al Digipoort. Ik had net een gesprek over Diginetwerk.
Het is prettig dat het woord digi overal aan geplakt wordt.
Maar wat is de Digipoort dan precies?
Dat kun je, denk ik, het beste vergelijken met een PostNL of een postbedrijf.
Alleen dan niet voor fysieke berichten, maar juist digitaal.
Wat wij ontvangen, zijn berichten van bijvoorbeeld een bedrijf.
Wij sorteren dat, we controleren op een aantal kenmerken.
Dan is bijvoorbeeld al afgesproken welke controles er moeten plaatsvinden.
Als hij erdoor komt, wordt er een bericht afgeleverd bij de ontvangende partij.
Het is ook tweerichting, dus we bieden ook berichten aan vanuit de overheden...
om opgehaald te worden door een ondernemer.
Nou, dan kun je denken aan bijvoorbeeld vooraf ingevulde aangiftegegevens...
die je voor je belastingaangifte gebruikt.
Maar we verwerken eigenlijk heel veel soorten berichten...
van verzuimmeldingen voor het UVW, jaarrekeningen, et cetera.
Dus dat zijn de typen berichten waar het dan over gaat.
En dat zijn er dan dus miljoenen per week die daar overheen gaan.
Het zijn er heel veel.
Het afgelopen jaar hebben we bijna 900.000 jaarrekeningen voor de KVK verwerkt.
Ja, bijvoorbeeld, om maar wat te noemen.
Dat stelsel van basisregistratie is dus een afsprakenstelsel.
René, daarvoor schuif jij aan. Wat kun jij daar dan over vertellen?
Allereerst om een beetje een beeld te geven...
van wat het stelsel van basisregistratie eigenlijk is.
Nou, als we eens beginnen met de basisregistraties.
Dat zijn door de overheid ingestelde registraties...
die verplicht gebruikt moeten worden...
door overheidsinstellingen. En daar hebben we er dus tien van.
Bijvoorbeeld de gegevens bij de Kamer van Koophandel is er een van.
Handelsregister, bijvoorbeeld. -Handelsregister. Ja, precies.
Basisregistratie Personen, maar bijvoorbeeld ook het Kadaster.
En die losse basisregistraties moeten een geheel vormen.
En Logius heeft stelseldiensten.
Aan de hand van de stelseldiensten vormt het een geheel.
Ofwel een stelsel van basisregistraties. -Juist, en dat is het stelsel...
en dat stelsel, daar ligt dan een afsprakenstelsel onder?
Hoe moet ik dat zien? Je hebt bedacht hoe die tien moeten samenwerken...
of hoe we die tien moeten gebruiken?
Nou kijk, hoe je het moet zien is, we hebben een drietal stelselvoorzieningen.
En daarnaast ook wat kennisdiensten. Dat zijn de stelseldiensten.
Aan de hand van de stelselvoorzieningen en kennisdiensten...
zorgen we ervoor dat de gegevens worden uitgewisseld...
tussen de verschillende partijen.
Daarnaast wordt ook de juistheid geborgd aan de hand van de stelseldiensten.
En worden gebruikers ondersteund in het gebruik van de data...
binnen het stelsel van basisregistraties.
Dat duurde lang. Een goede uitwisseling was ingewikkeld tussen die basisregistraties.
Men dacht: Ik word benaderd door de ene overheid...
vanuit mijn perspectief als burger.
Dat is diezelfde burger die in een gemeente woont waar nu iemand van kijkt.
Ik word benaderd als burger en denk: Dat weet de overheid toch van mij?
En het antwoord van de overheid is: We krijgen dat niet uitgewisseld.
Daar zijn we nu dus wel? =-Jawel.
Dat we goed kunnen uitwisselen? -Ja, klopt.
Maar dat willen we dus veilig doen.
Want veiligheid is het thema van deze bijeenkomst.
Klopt, ja. Klopt. =-hoe geef je daar Dan invulling aan?
Dat die gegevensuitwisseling veilig verloopt?
Waar we het sowieso over hebben, is data wordt uitgewisseld...
tussen dataverstrekkers en dataverwerkers.
En ik zou eigenlijk graag, als we het hebben over gegevensuitwisseling...
het willen toespitsen, veiligheid willen toespitsen op...
beschikbaarheid, integriteit en vertrouwelijkheid.
Zal ik daarop inbreken? =-Ja.
Beschikbaarheid, integriteit en vertrouwelijkheid. Die woorden doen iets.
Nou ja, die drie samen, de BIV, maar ik zou niet in afko's gaan praten.
Die drie samen maken eigenlijk wat informatiebeveiliging is.
Dus de B, beschikbaarheid, dat is niet alleen: Is een dienst beschikbaar...
maar is het op de juiste manier beschikbaar wanneer het beschikbaar moet zijn?
Dus daar maak ik me ook druk over.
De I, integriteit: Klopt de data wel?
Nou, de link met als jij inlogt bij MijnOverheid...
en jij ziet dat jouw partner niet klopt, dit is misschien een slecht voorbeeld...
maar dan kun je een melding maken dat dat niet klopt.
We zijn tien jaar getrouwd, het klopt al jaren. Gaat super.
Ik kan goed slechte voorbeelden verzinnen, maar bij wijze van spreken.
Je kunt dus zorgen dat als er een fout staat in zo'n register...
kun je dat via een voorziening van ons terugbrengen.
En de vertrouwelijkheid, dat kan publiek zijn...
als het gaat over de data van het Kadaster, dat is gewoon publiek beschikbaar.
Maar er zijn ook vertrouwelijke punten. En die drie samen maken eigenlijk...
waar ik me altijd mee bezig hou.
Dus als jij nadenkt over hoe kunnen we nu veilig gegevens uitwisselen...
doe je dat op basis van die drie criteria? Je denkt steeds: Wat betekent veiligheid...
voor de beschikbaarheid, voor de integriteit en voor de vertrouwelijkheid?
Klopt. =-daar gaat Het over.
Maar hoe draagt dan die stelseldienst bij aan die criteria?
Aan die beschikbaarheid, integriteit en vertrouwelijkheid? Hoe werkt dat?
Als het gaat over de invulling van de beschikbaarheid...
integriteit en vertrouwelijkheid...
dan hebben we de stelselcatalogus en het platformstelsel van basisregistraties.
Daarmee wordt eigenlijk inzicht, overzicht en duiding van overheidsgegevens gegeven.
Dus dat is allereerst een beetje de basis...
om een beetje een beeld te krijgen bij waar we het nou precies over.
Als we het vervolgens hebben over de beschikbaarheid van actuele data...
dan hebben we daar Digilevering voor.
Digilevering, als abonnee kun je op de hoogte gesteld worden...
van wijzigingen in de basisregistraties. Dus stel nou dat je je naam verandert...
of je partner van tien jaar, wat ik net heb begrepen...
als dat verandert... =-Gaan we niet doen.
Denk ik ook niet, maar goed, als daar een wijziging in komt...
dan worden abonnees daar aan de hand van Digilevering van op de hoogte gesteld.
En als laatste, of althans als tweede...
qua integriteit van de data, daar hebben we Digimelding voor.
Digimelding is eigenlijk onze voorziening die ervoor zorgt dat...
zeg maar de juistheid van de gegevens dat we dat borgen en hoe doen we dat?
Ziet een dataverwerker dat er iets niet klopt?
Is er een onjuistheid, dan geeft die persoon dat door aan de dataverstrekker.
Op het moment dat één iemand dus een fout constateert...
dan geeft ie dat door, dat heet dan dus Digimelding.
En dan wordt dat automatisch aangepast omdat het een bronbestand is.
Dus dan gaan automatisch alle gebruikers... -Nou, daar zijn we nog niet.
Dat is wat je zou willen, toch? -Ja, precies.
Maar daar zijn we nog niet. =-Doorontwikkelen. dat doen we ook.
Dus het klopt wel dat ik denk, het is logisch dat we daarheen willen?
Ja, zeker. Zeker. =-Als je Het bronbestand aanpast...
dat alles meeverandert. =-Maar je verandert Het niet.
Degene die het meldt, die meldt het naar degene die het hoort aan te passen.
O ja, dan moet er nog een aanpassing komen.
Ja, want als ik aangeef dat er iets niet klopt aan jouw gegevens...
dan wil je toch ook niet dat ik het voor jou aanpas?
Nee. Dan hebben we nog de integriteit. Hoe werkt dat, Thomas?
Als het gaat over de Digipoort? =-daar heb Ik wel een voorbeeld van.
Want bij het insturen van een bericht willen we eigenlijk vast kunnen stellen...
dat er aan het eind geen aanpassingen zijn geweest.
Dus vanaf het moment dat hij verzonden wordt...
tot we hem kunnen afleveren bij de ontvangende partij.
Dat doen we bijvoorbeeld bij de jaarrekening van middelgrote ondernemingen.
Als die gedeponeerd worden, moet een accountant al een verklaring afgeven.
Verklaart dat het naar waarheid is ingevuld en dat hij het heeft gecontroleerd.
Maar hij moet hem ondertekenen met een digitale handtekening.
En dat heet dan een PKIoverheid Beroepscertificaat.
Die is persoonsgebonden, die is op een persoon afgegeven.
Maar met dat certificaat...
eigenlijk wordt er technisch een unieke sleutel aan het bericht toegevoegd...
dat maakt dat we kunnen controleren of hij nog authentiek is gedurende de rit.
Ja, precies. Want het kan dus zijn dat ie wordt aangepast.
Een hacker zou dat kunnen doen. -Nou, het heeft een juridisch gevolg.
Het is eigenlijk een digitaal briefgeheim. =-Ja. En dat willen we bewaken.
Wij controleren dat het niet onderweg aangepast is.
Het is eigenlijk een maatregel om te voorkomen dat het aangepast kan worden.
Dus inderdaad dat aanpassen, dat maakt dat...
ik zeg nooit dat iets onmogelijk is, maar het wordt wel erg ingewikkeld.
Maar er gaan ook gegevens over het netwerk waar weer persoonsgegevens in zitten.
Dat maakt het nog ingewikkelder, want je wil weten dat die vertrouwelijk blijven.
Hoe heb je dat dan opgelost? =-daar moet je zeker zorgvuldig mee omgaan.
Kijk, in die keten waar wij mee te maken hebben, moet je afspraken maken.
Welke standaarden je gaat toepassen.
En een van die standaarden is dat je een PKIoverheid certificaat benodigd hebt.
Met dat certificaat kan ik een bericht versleutelen...
dus op het moment dat die getransporteerd wordt over het internet, Diginetwerk...
kan in principe niemand lezen wat erin staat. Dus de vertrouwelijkheid.
Juist. Dus dat is de manier waarop je dat kunt doen.
Het grappige is, als we alles volgens de regels doen...
zoals jullie het zelf bedacht hebben, zou het eigenlijk helemaal veilig moeten zijn.
Dat is wel de gedachte. =-Absolute veiligheid bestaat niet.
Absolute veiligheid bestaat niet. Er kunnen dingen binnen stelsels gebeuren.
Met PKIoverheid hebben we een aantal jaar geleden...
ook een groot incident, calamiteit gehad. En dan moet je daar weer op acteren.
Dus we proberen het altijd zo veilig mogelijk te doen.
En hoe leer je daar dan van?
Nou, daar leer je van door dingen die je soms voor niet mogelijk hebt gehouden...
daar leer je van, dat het dus toch kan...
en dan ga je bijvoorbeeld extra toetsmogelijkheden in het proces bakken.
We gaan het straks bijvoorbeeld hebben over multifactorauthenticatie.
Dat maakt het alweer een stuk ingewikkelder.
Dat bestaat al een tijdje, maar ik denk dat we nu wel kunnen leren...
dat als we goed onze gegevens willen beschermen, dat dat wel een stap is...
voor de burger om zichzelf te beschermen.
René, tot slot nog eventjes. We praten hierover.
Jullie vinden het fijn om in deze Roadshow uit te leggen:
dit is hoe wij denken, dit is wat erachter zit.
Er zitten slimme beveiligingsideeën achter. Dit is de borging.
Het is net een gesprek waarin we de motorkap van de auto opendoen...
en zeggen: Kijk, zo werkt het. U kunt deze auto prima vertrouwen.
De vraag die Martijn bijvoorbeeld stelt, is:
PKIoverheid in de private root dan, neem ik aan?
Ik begrijp die vraag niet. =-Zal Ik hem nemen?
In de private root? -Ja, PKIoverheid...
dat is al lange tijd geleden ontstaan en daarmee...
Dit wordt een beetje een technisch verhaal, maar het werkt met certificaten.
En vroeger was dat eigenlijk het groene vinkje in de browser.
Dat is waar de meesten het van kennen en daarom leg ik hem op die manier aan je uit.
En in de browser staan een aantal partijen die vertrouwd zijn.
En als het in die root eigenlijk, dus wat daaronder valt, is uitgegeven...
dan wordt het vertrouwd. Je kunt dat publiek doen.
Dat is de browserkant en je kunt dat privaat doen.
Privaat hebben wij een hele grote, daar zitten heel veel certificaten in.
Alle Digipoort-certificaten of alle certificaten die nodig zijn...
om te kunnen communiceren met Digipoort vallen onder die private root.
De publieke root, daar nemen wij binnenkort afscheid van.
Dus vandaar dat de vraag is: Ja, in de private root en we nemen zelfs afscheid...
We nemen afscheid van de publieke root.
Oké, tot slot voor 2023, wat zit eraan te komen waarvan je zegt:
Daarom was het belangrijk om die motorkap op te tillen en hier zijn we mee bezig.
Even samengevat, voor 2023 gaat Logius steeds meer bewegen richting hetgeen wat...
vanuit het ministerie van Binnenlandse Zaken is omschreven in het toekomstbeeld...
van het stelsel basisregistraties.
En dat houdt in dat we steeds meer gaan werken volgens het principe...
afspraken gaan voor standaarden en standaarden gaan voor voorzieningen.
Er zijn nog wat dingen die ik kan noemen.
Afspraken gaan voor standaarden, standaarden gaan voor voorzieningen.
En als ik nu bij een gemeente of een provincie zit en ik zit te kijken...
wat betekent dat dan voor mij? Moet er iets veranderen?
Nou, het betekent dat we als Logius verschillende standaarden gaan verkennen...
en waar mogelijk toepassen.
Dat we ook gaan werken volgens bepaalde afspraken.
Denk bijvoorbeeld aan afspraken die zijn gemaakt voor direct bevragen.
En dat houdt eigenlijk in, als we toch weer terugkijken naar veiligheid...
dat houdt in dat we de integriteit beter gaan borgen.
Juist. Het wordt dus veiliger. 2023 wordt veiliger.
Goede samenvatting. =-dat is goed nieuws.
René en Thomas, job well done. Dank je wel. Ik begrijp de motorkap een beetje beter.
Dank je wel. We gaan snel door, praten over DigiD.
Niet onbelangrijk, want elke Nederlander heeft die DigiD app op z'n telefoon zitten.
Die blijven we ontwikkelen. We hebben het feestje al gevierd. Hij bestaat 18 jaar.
Dus zijn Kevin Ronkes en Roel Vaessen bij mij aangeschoven.
Beiden Business Consultant in het domein Toegang. Heren, van harte welkom.
Ja, DigiD. Kevin, maakt het je ook trots? Vandaag achttien jaar?
Zeker. Ik loop al wat jaartjes mee bij Logius...
dus ik heb bijna het begin meegemaakt. Net niet helemaal.
Maar inmiddels heb ik al ruim 13 jaar met dit product te maken.
En ik word er nog steeds blij van. =-Juist.
Ik noemde ook al even eerder vanmiddag de Logius app.
Dat is een eigen app die jullie hebben om de wereld uit te leggen...
wat er allemaal op de mensen afkomt. Maar niet iedereen downloadt 'm, geloof ik.
Nog niet. Wel heel veel mensen, gelukkig. Veel van onze afnemers.
Dat zijn de belangrijkste die kennis moeten nemen van wat wij doen.
We hebben natuurlijk heel veel verschillende soorten afnemers.
We hebben erg veel producten en diensten. Daar willen we af en toe over informeren.
En we hebben natuurlijk niet elke dag zo'n mooie Roadshow als vandaag.
Dus om op de hoogte te blijven, moet je die in de gaten houden.
En dan kunnen we ook beter duiden wanneer bepaalde ontwikkelingen eraan komen.
Dat is niet altijd duidelijk. =-de app stuurt pushberichten.
Klopt, en soms geven we een aanzetje dat mensen iets moeten doen.
Als er iets in de pre-productie staat, kunnen onze afnemers dat vast gaan testen.
Ook belangrijk. Kunnen ze feedback geven voor we dingen doorbrengen naar productie.
Wat was er afgelopen periode belangrijk om even uit te lichten...
wat ook in de Logius app is gekomen? =-daar wil Ik wel Wat over zeggen.
We hebben best veel verbeteringen doorgevoerd.
Een hele leuke is bijvoorbeeld, of eigenlijk wel een belangrijke...
is dat we geen notificaties meer sturen naar mensen die zijn overleden.
Dat gaat dan over DigiD? =-Ja.
Als je DigiD lange tijd niet gebruikt, dus als je overleden bent...
dan vervalt op een gegeven moment vanzelf je DigiD account.
Nou, om je eraan te herinneren dat dat bijna het geval is...
stuurden we een notificatie.
Nou, dat is natuurlijk niet leuk als degene al is overleden. Dat vangen we netjes af.
Op een telefoon die al een half jaar niet gebruikt wordt?
Of in een e-mailbox.
Wat we ook hebben verbeterd, of veranderd aan de DigiD app...
dus dat is niet de Logius app, maar de DigiD app...
is dat we nu starten met de pincode.
Dus je bent dan gelijk eigenlijk in het veilige gedeelte van je app.
Dat zijn we gaan doen om meer functionaliteit toe te voegen aan de app.
En het gaat ook echt helpen straks dat we makkelijker van domein kunnen switchen.
Dus je wilt bijvoorbeeld van je huisarts naar je apotheek.
Als je dat nu wilt hebben als afnemer of als groep...
moet je een Single Sign-On inrichten, zoals dat heet.
Nou, dat is nogal ingewikkeld, daar stoppen we mee.
Dat gaat eenvoudige herauthenticatie heten en daarmee kan je heel makkelijk...
van domein A, bijvoorbeeld je huisarts, naar je apotheek...
door een simpele herbevestiging op de app.
Dus voorbereidende werkzaamheden, wat later dit jaar of begin volgend jaar ook komt.
Komt de DigiD app daarmee iets dichter bij de banken apps die ik heb?
Nou, zo zou je het wel kunnen zien. Heel veel mensen herkennen banken apps...
Waarvan je er als gebruiker ook van uitgaat dat ze superveilig zijn.
Ja, weet je wat het grote verschil is? Kijk, banken hebben een risico.
En die risicoafweging heeft met financiën te maken. Dat kunnen wij niet doen.
Dus ik vind echt wel dat wij nog een veel scherpere afweging moeten maken...
omdat wij gewoon heel veel gegevens te beschermen hebben.
Maar het gaat er iets meer op lijken.
Want ik logde in m'n DigiD app in met een vijfcijferige pincode.
Klopt. =-Net Als bij de bank.
Inderdaad, dus het lijkt ook, de banken lopen altijd heel erg voorop...
in informatiebeveiliging, want dat financiële risico is natuurlijk...
Je bent wel veilig, dus dat kunnen ze afkopen...
maar het kost de banken ook heel veel geld als ze het niet goed voor elkaar hebben.
En je ziet nu dat de DigiD app daar iets meer op gaat lijken inderdaad.
Dus je start nu en je mag gelijk je pincode intoetsen.
Dus dat is een belangrijke ontwikkeling in de DigiD app.
Die je dus nu al ziet, maar die straks nog veel meer gebruikt gaat worden.
Er zijn bijvoorbeeld ook verbeteringen aan mijn DigiD...
je site waar je dingen kunt regelen rondom DigiD, doorgevoerd.
Daar kan je nu makkelijker je e-mailadres toevoegen...
zodat wij je kunnen berichten als er wat is rondom DigiD.
En je kan nu ook makkelijker aanzetten...
dat je alleen met tweefactorauthenticatie, daar gaat 't straks nog over, wil inloggen.
Zodat je altijd zelf op het beste niveau eigenlijk inlogt.
En jullie zijn bezig geweest met App2App.
Dat klopt ook. We hebben het heel veel over verschillende soorten apps vandaag.
Logisch in 2022. -Ja, zeker.
App2App is een functionaliteit waarmee de DigiD app aangeroepen wordt...
door een andere app. Dus een goed voorbeeld is de Berichtenbox app.
Waar je berichten van de overheid ontvangt.
Als je daar een bericht ontvangt of je hebt 'n seintje dat je moet kijken...
dan wil je eigenlijk je authenticatie doen middels de DigiD app.
En de implementatie, de manier waarop je daarop aansluit...
hebben we makkelijker gemaakt, ook met 't oog op de toekomst.
Omdat we verwachten dat daar veel meer gebruik van gemaakt gaat worden.
Hou de Logius app dus in de gaten, want er komen weer nieuwe dingen aan.
Ja, er zijn er twee die we vandaag graag willen toelichten.
Enerzijds de komst van het nieuwe CombiConnect-koppelvlak.
CombiConnect-koppelvlak. Jullie verzinnen het wel, Theo.
Maar het begint niet met digi. -Nee, dat scheelt.
Het is wel onderdeel van DigiD, een DigiD koppelvlak.
Daarover willen we wat vertellen. En over de herziening van onze aansluitvoorwaarden.
En het is belangrijk om daar vast wat over te vertellen.
CombiConnect-koppelvlak, Roel. Neem jij die voor je rekening?
Ja, ik vind het wel lekker klinken. CombiConnect.
De alliteratie, het allitereert lekker. =-Het klinkt goed.
Het belangrijkste van dat CombiConnect- koppelvlak, het woord combi zit er al in.
Als een afnemer een DigiD-aansluiting wil, moet die aansluiten bij ons, bij Logius.
Als je in het verleden een DigiD aansluiting wilde, sloot je aan bij Logius.
Wilde je dan later ook gebruik maken van DigiD Machtigen...
dus je wil machtigbare diensten aanbieden...
dan moest je ook nog eens een keer aansluiten bij DigiD Machtigen.
Zeker bij DigiD Machtigen was dat een hoop gedoe.
Nu maken we één slimme aansluiting, CombiConnect...
de combi van zowel DigiD als DigiD Machtigen.
En dat laatste kan je natuurlijk als dienstverlener gewoon uit- of aanzetten...
zodat je niet meteen gedwongen wordt om die dienstverlening ook te ondersteunen.
Dat zou mooi zijn, maar zo eenvoudig werkt dat niet.
Dus het is configureerbaar. Alweer zo'n mooi woord met zo'n lekkere klank.
En hoe hou je dat dan veilig? Want vandaag gaat het over veiligheid.
Dus jullie hebben dit nu, dit komt eraan.
Maar dan denk je ook weer na over, dat moet wel veilig kunnen.
Ja, het belangrijkste, het veilige zit meer in een ander aspect.
Tot voor kort waren heel veel dienstverleners...
Daar logde je in met je gebruikersnaam en wachtwoord.
Er gaat steeds meer naar twofactor toe.
Maar het makkelijke van gebruikersnaam en wachtwoord...
is dat je het aan je buurman kan geven...
zodat hij je kan helpen met het doen van aangifte, een aanvraag.
En vroeger was dat misschien niet zo risicovol...
maar tegenwoordig zit er zoveel dienstverlening achter je DigiD.
Je geeft je bankpas en je paspoort niet aan je buurman.
Maar we willen wel dat mensen elkaar kunnen helpen.
Dus daarom maken we dat machtigen steeds toegankelijker.
Zodat mensen elkaar toch kunnen helpen.
Nu kan ik Kevin machtigen om m'n aangifte te doen.
En dan kan hij alleen maar dat doen en niet m'n donorcodicil veranderen...
en hij kan niet in m'n patiëntendossier van het ziekenhuis.
Gelukkig maar. =-Er komen vragen over binnen.
Hoe bevalt de DigiD meervoudige aansluiting en assessment?
Ja, dat is wel een hele andere vraag die er nu wordt gesteld.
Maar ik kan niet anders. Kijkers mogen vragen stellen.
Ik kan hem heel goed uitleggen. Wat we zien in ons afnemerveld of ons klantenveld...
is dat er partijen zijn, met name software partijen...
die hebben enorm veel dienstverleners als klant.
Stel je maar gewoon voor, je hebt een softwarepakket als huisarts.
Maar die software leverancier heeft wel duizenden huisartsen...
in z'n klantenportefeuille.
Wij leveren een DigiD-aansluiting aan de huisarts, niet aan een softwarepartij.
Daar leveren we het Burgerservicenummer af.
Als je die allemaal individueel wil aansluiten, dat zou nogal wat betekenen.
Bij elke aansluiting hoort een assessment, dat zit in die veiligheid.
Wat we nu hebben bedacht, om dit mogelijk te maken...
want met name in de zorg willen we graag dat de dossiers omsloten worden...
is een speciaal soort aansluiting, die wordt ook beschikbaar in de CombiConnect...
om het maar even ingewikkeld te maken...
en dat noemen we de zogenaamde clusteraansluiting.
Dan kun je de aansluiting bij de softwareleverancier houden.
En die heeft z'n software zo ingericht dat ie allemaal logische aansluitingen...
Dus als al die huisartsen bij dezelfde softwareleverancier zitten...
krijgen ze via die software een DigiD aansluiting.
Globaal is dat zo, maar dan moet je die softwareleverancier gaan assessen.
Precies, want als daar een hacker binnenkomt, zijn de rapen gaar.
Precies, en dat is dat meervoudige assessment waar deze vraagsteller op doelt.
Maar dan zijn we er nog niet, dit is de uitleg.
De vraag was: Hoe bevalt het? -Ja, volgens mij bevalt dat heel erg goed.
Steeds meer software aanbieders, met name in de zorg, zijn aangesloten...
middels die clusteraansluiting en dan wordt het meervoudig assessment toegepast.
Kan dit echt helpen om de administratiedruk in de zorg te minderen?
Ik leid veel zorgcongressen en de grootste klacht is:
Alles wat u bedenkt, is alleen maar meer administratie.
We moeten het misschien andersom zien. Hadden we dit niet geregeld...
had elke huisarts elk jaar een assessment moeten inleveren.
Dan is het antwoord op mijn vraag: Ja. -Ja, zeker.
Want jullie gaan gewoon een dubbeldik assessment doen bij de softwareleverancier.
Maar hoeveel van die softwareleveranciers moet je dan assessen?
Ja, dat zijn er al gauw tientallen, maar dat is heel divers.
Dat scheelt een hoop met duizenden.
Krijgen die ook een dikker assessment? =-de assessments zijn Voor iedereen gelijk.
Ik denk even hardop, achter hen zitten honderden huisartsen.
Ja, maar we vinden ook dat als je maar één aansluiting hebt...
dat dat ook gewoon echt goed moet zijn. Dus die lat ligt, ook voor ons even hoog.
Wij moeten zelf ook voldoen aan die voorwaarden.
Terug naar CombiConnect, want Martijn vraagt:
Wordt eIDAS ook meegenomen in CombiConnect?
Nee, eIDAS zit nog niet in CombiConnect.
In de toekomst, of maakt dat niet uit?
Daar is binnen de wet- en regelgeving nog veel discussie over.
Over hoe dat eruit moet gaan zien in de nabije toekomst.
En dan de vertaling naar de uitvoering, hoe we het gaan inregelen voor je.
Koppelvlak CombiConnect, wanneer moet dat beschikbaar zijn?
Nou, eigenlijk bestaat het al, want de vraagsteller vroeg er natuurlijk naar.
Die zei: Hoe bevalt het? -Nou, ik hou het een beetje eenvoudig.
In het zorgdomein is ie er eigenlijk al en voor de overige domeinen...
is ie er technisch ook al, maar we zijn nu het aansluitproces...
van partijen op die CombiConnect nog aan het beproeven en aan het fijnslijpen.
Het is natuurlijk heel link om data te noemen.
Ik hoop dit jaar nog. =-dat zou mooi zijn.
En dan maken we dat natuurlijk weer kenbaar in die Logius app.
De veranderingen die plaatsvinden. =-Let tegen de kerst op je Logius app.
Herziening van de voorwaarden, noemde jij even, Kevin.
Maar hoe dragen die dan bij aan veiligheid?
Nou, een voorziening moet natuurlijk niet op aansluitvoorwaarden draaien.
Maar als je gebruik maakt van een voorziening...
dan draagt het wel bij aan hoe een afnemer zelf...
allerlei zaken moet configureren en om moet gaan met die aansluiting.
Nou, we hebben net gehoord, DigiD is volwassen geworden, 18 jaar.
En ook die aansluitvoorwaarden ontwikkelen daarin mee.
Er zijn eigenlijk twee punten, BSN-recht en afgeleide toegang...
die echt meer in de aandacht moeten komen.
Jullie hebben een analyse gemaakt van die voorwaarden om aan te sluiten...
en gedacht: Er zijn twee thema's waar ik even naar moet kijken.
De twee thema's die we vandaag even willen toelichten. Er zijn nog wel meer punten.
Wat is dat dan, BSN-recht?
BSN-recht geeft eigenlijk aan dat als je het BSN-recht hebt als organisatie...
dus je mag als overheidsorganisatie het BSN gebruiken.
Wat je uiteindelijk ook van DigiD krijgt. Dan heb je het recht om DigiD te gebruiken.
Tot nu toe is dat een soort zelftoets geweest.
Een organisatie kijkt naar de voorwaarden. Mag ik dit wel, mag ik dit niet?
En die bepaalde zelf of hij dat mocht.
Dat levert natuurlijk weleens vragen op of discussies.
Of vragen van afnemers aan ons, mogen wij eigenlijk dat DigiD wel gebruiken?
Dat is voor ons heel lastig om te beoordelen.
Omdat wij de aansluitende organisatie niet goed kennen.
En we juridisch gezien niet weten wat iemand wel en niet mag.
En we hebben dat nu aangescherpt eigenlijk, zou je kunnen zeggen...
door een onafhankelijke toets te maken. Dus die zit niet bij ons of bij de afnemer.
Maar die laten we doen door RVIG, Rijksdienst voor Identiteitsgegevens.
Die hebben een lijst, die heet de ALB, Autorisatielijst BSN-gerechtigde partijen.
En als je op die lijst staat, weten we zeker dat jij als organisatie...
het BSN mag gebruiken en dat je dus ook mag aansluiten op DigiD.
Je moet dus op de lijst komen? =-je moet op de lijst komen.
En wij zorgen ervoor dat zodra iemand bij ons een DigiD aansluiting aanvraagt...
checken wij dus of je op die lijst staat.
En van de huidige afnemers wordt gecheckt of ze op de lijst staan?
Die worden ook gecheckt inderdaad. =-is Er weleens een die Er niet op staat?
Die zullen er ongetwijfeld zijn. We doen uiteraard vooraf wel een beetje een toets.
Daarom hoeven we ook niet gelijk in paniek te raken.
Wij beginnen met de partijen die een nieuwe aansluiting op DigiD willen.
Voor die partij gaan we checken of hij op die ALB lijst staat.
Voor de bestaande partijen gaan we kijken hoe we die op een goede manier...
daarheen kunnen brengen, want de meeste van onze aangesloten partijen...
kunnen op die lijst komen als ze er nog niet op staan.
We begrijpen dat dat een proces is waar je even doorheen moet.
Dus we zeggen niet zomaar ineens: Je moet er nu op staan.
Anders sluiten we je DigiD aansluiting af. -Precies, dan heb je dus de RVIG.
Dus een externe organisatie, die gaat dan dus toetsen.
En die gaan een assessment afnemen om op die lijst te komen.
Externe organisatie, collega organisatie. =-Het is een overheidsorganisatie.
Maar goed, buiten jullie organisatie. -Ja, eens.
Verwacht je daar veel gedoe mee, dat de organisaties niet op de lijst gaan komen?
Ja, dat vind ik een goede vraag.
Ik heb daar eigenlijk nog geen beeld van. Er is een voortoets gedaan.
Ik verwacht, we zouden geen overheid zijn zonder gedoe...
maar ik verwacht er niet heel veel extra gedoe van.
Het merendeel zal daar gewoon klakkeloos op kunnen komen.
Wij voorzien geen problemen, maar we hebben ruim 700 partijen aangesloten op DigiD...
dus er zal ergens wel een randgeval naar voren komen.
Dan kunnen we het in de volgende talkshow over het randgeval hebben.
Afgeleide toegang was het tweede waar je even over sprak.
Dat heeft alles te maken met die vijfcijferige pincode die ik net noemde.
Wat gaat daar veranderen dan? =-we noemen dat afgeleide toegang.
We zien vaak dat zodra afnemers van ons gebruik maken van een app...
daar is die app weer, om DigiD te ontsleutelen...
dan doen ze dat vaak eenmalig met DigiD als een soort activatieproces.
En daarna mag je dan met de pincode van de afnemer gaan inloggen.
En dat betekent dat je op zo'n moment van inloggen niet meer langs DigiD komt.
En wij van DigiD vinden uiteraard dat wij onze klanten moeten beschermen.
Onze burgers moeten beschermen en ervoor zorgen wij degenen zijn...
die dat authenticatieproces doen.
En we zien dat dat bij heel veel apps nu niet het geval is.
Ik benoemde net al de Berichtenbox app, daar gaat dat keurig.
Eigenlijk ziet de Berichtenbox app dat de DigiD app op de telefoon staat.
Je toets de vijfcijferige pincode in, maar dan in de DigiD app.
En daarna ben je binnen, dus de gebruikerservaring is hetzelfde.
Maar je komt altijd langs ons, langs DigiD.
Dat is eigenlijk ook dezelfde ervaring als op het web.
Zodra je met je pc of je laptop gaat inloggen...
en je gaat naar een site van een afnemer, maak je een uitstapje naar DigiD...
om daar je authenticatie te doen en je komt daarna weer terug bij de afnemer.
Dat is wat je wil. =-dat is Wat we willen.
Maar er zijn ook constructen waarbij je, als je de tweede keer ergens inlogt...
niet meer langs de app hoeft. =-Dan kom je niet meer langs ons.
Zodra je een eigen pincode hebt in een app van een afnemer.
Wij willen wel graag dat je langs ons komt...
zodat wij de garantie kunnen bieden dat de juiste persoon inlogt.
Want je wil geen fraude of allerlei onmenselijke situaties in de hand werken.
En als je ooit een keer ingelogd bent geweest.
Je bent één keer ingelogd, toen je langs die app ging...
maar daarna nooit meer. Dat maakt het gewoon een stukje...
Precies, en dat noem je dus die afgeleide toegang en dat gaat dan dus veranderen.
Dat gaat veranderen. En per wanneer is dat uitgefaseerd dan?
Dat zit in onze nieuwe voorwaarden. Dus als je een nieuwe aansluiting hebt...
en je wil ook met een app aan de slag, gaat dat voor jou gelden als partij.
En voor de bestaande partijen? =-Gaan we één-op-één contact zoeken...
en zorgen dat we in gesprek gaan. Ook hier geldt dat we niet opeens gaan eisen...
dat mensen daarmee ophouden. Het zullen nu zo'n 30 partijen zijn.
dat hebben we ongeveer berekend en daar gaan we mee in gesprek.
En dat voeren we op een nette manier door.
Vandaar dus ook die App2App-toegang die ik al noemde. Dat is nu makkelijker gemaakt.
We willen onze afnemers niet met een heel ingewikkeld proces opschepen.
Zorgen dat dat goed en soepel zal verlopen. -Kevin Ronkes, Roel Vaessen, dank je wel.
Er komt een hoop op ons af en volg de Logius app...
want voor de kerst komen de pushberichten. Dat heb ik geleerd.
Wij gaan snel door naar ons laatste gesprek.
Want wij moeten met elkaar spreken over tweewegauthenticatie.
Een belangrijke term, tweefactorauthenticatie.
Waarin het gaat over de manier waarop we beveiligen.
Het wordt verplicht bij MijnOverheid en bij het UWV.
Althans, daar doen ze het al een tijdje, bij MijnOverheid gaan we eraan beginnen.
Marike van der Bom en Marjolein van Abbe zijn aangesloten.
Marike is Coördinator Digitale Overheid bij UWV.
En Marjolein van Abbe, Clustermanager Business Consultants bij Logius.
Beiden van harte welkom. =-Dank je wel.
Voor het slotstuk van deze Roadshow.
En dat betekent dat ik tegen jullie zeg: Ik wacht nog op een paar mooie vragen.
Maar die komen denk ik vanzelf.
Eerst maar eens kijken waar we staan, Marjolein.
MijnOverheid gaat naar een hoger inlogniveau met tweefactorauthenticatie.
Eerst maar eens even, tweefactorauthenticatie, wat is het?
Misschien goed om eerst even uit te leggen...
MijnOverheid bestaat uit een aantal onderdelen.
Dat bestaat uit de MijnOverheid Berichtenbox, lopende zaken...
en ook persoonlijke gegevens en nu we het er toch even over hebben...
wil ik met persoonlijke gegevens even een momentje pakken.
want we hebben een prijs gewonnen. =-Confetti?
Ja, confetti. Ik voelde hem aankomen. =-Prijs gewonnen?
Ja, het is de Computable Award en die is gisteren uitgereikt.
Dus we zijn allemaal nog een beetje in de gloria.
Dat mag ook. =-Vanuit Het publiek En de jury beoordeeld.
Het zit in je haar. -O, zit het in m'n haar?
Het is vanuit het publiek en een jury beoordeeld...
en uiteindelijk beoordeeld op dat het... -Gebruiksvriendelijkheid, functionaliteit.
Het is gewoon een mooie app en daar zijn we nu voor beloond.
Heel veel collega's hebben er heel hard aan gewerkt.
Dus daar wilde ik toch even eer aan brengen.
Computable is wel het vakblad. =-Gerenommeerd. Zeker.
Daar zijn we heel blij mee. Ja. =-Gefeliciteerd.
Als burger voelt dat prettig, dat datgene wat jullie maken voor mij...
dus zeer goed wordt beoordeeld, zo ervaar ik het ook.
Wel even terug naar die tweefactorauthenticatie.
Wat is dat dan? -Ja, dat is ook goed om even uit te leggen.
Als je op dit moment MijnOverheid, meestal wordt die voor de berichten benaderd...
als je MijnOverheid benadert, kan je met je gebruikersnaam en wachtwoord inloggen.
En dan heb je gewoon toegang tot alles.
Dat is natuurlijk heel handig, maar wat minder veilig.
Theo zit al streng te kijken.
En wat we willen, is natuurlijk zo veilig mogelijk omgaan met die gegevens.
Want in MijnOverheid zitten veel gegevens.
Bijvoorbeeld je BSN-nummer, gegevens over je ouders, adres, alles.
En dan zijn er nog gebruikers die op elk platform hetzelfde wachtwoord gebruiken.
Ja, inderdaad. Dus daar zit echt wel een veiligheidsrisico.
En dat willen we niet meer in de toekomst. Zeker nu we steeds meer aansluiten...
en er meer gegevens via MijnOverheid zichtbaar worden...
willen we dat goed beveiligen en vanaf 5 januari zullen we alle gebruikers vragen...
om gebruik te maken van tweefactor.
En tweefactor kan je op verschillende manieren doen.
Je kunt de app installeren, de DigiD app.
Dat is het makkelijkste. Dat hebben we het liefste.
Als je geen smartphone hebt of je vindt dat niet prettig, dan kan het ook via sms.
En tenslotte kan het ook met een vaste telefoonlijn, middels een gesproken sms.
Dus ik log in online met m'n wachtwoord en gebruikersnaam.
En dan zegt hij: Vraag sms of scan de QR-code met de app...
en dat is dan tweefactor. =-Het is geen QR-code meer.
Als je de app hebt, ga je eigenlijk in één keer door naar het inloggen.
Zeker bij de Berichtenbox gaat dat eigenlijk...
je hebt niet eens door dat je via de DigiD app gaat.
En mocht je dat dus niet hebben, geen smartphone of je mocht dat niet willen...
dan kan je via sms-code of via een gesproken sms alsnog inloggen.
Dus dan kan je altijd bij je berichten en je gegevens.
Dus tweefactor is altijd een dubbele check dat jij het bent.
Ja, eigenlijk is tweefactor, multifactor wordt het ook wel genoemd...
twee punten uit 'Something you have, something you are and something you know'.
Sorry, ik was de derde even vergeten. -Ja, wachtwoord.
En je kunt dan kiezen uit verschillende combinaties.
Goed om de grootte even aan te geven.
We hebben nu 16,8 miljoen gebruikers van DigiD.
En het aantal mensen dat alleen nog gebruik maakt van gebruikersnaam en wachtwoord...
dat is nog maar 400.000, dus dat is relatief weinig, 2,5 procent.
Maar die 400.000, daar willen we wel vanaf. =-Precies.
Ja, die willen we wel ook veiliger hebben. =-een beetje helpen.
Die willen we helpen, precies. UWV heeft dat een aantal jaar geleden al gedaan.
Waarom was dat voor jullie toen zo urgent?
Wij hebben op een gegeven moment de aanwijzing gekregen...
dat we het bedrijvendomein beter moesten gaan beveiligen.
We moesten voor eHerkenning omhoog.
Maar voor onze dienstverlening was het ook van belang om voor DigiD omhoog te gaan.
Wij verwerken best wel gevoelige informatie voor onze klanten.
En wij hebben toen besloten om tegelijkertijd eHerkenning...
en DigiD op een hoger niveau te gaan doen.
En het grote verschil met nu is dat er toen nog 3,5 miljoen mensen ongeveer waren...
die alleen een gebruikersnaam en wachtwoord hadden.
Dus wat dat betreft zijn we nu gelukkig al een heel stuk verder.
Toen wij gingen, zijn er ook anderen gegaan.
Maar ook met de corona-app vorig jaar zijn er al een heleboel mensen overgegaan.
Maar dat was destijds best nog wel een uitdaging om dat voor elkaar te krijgen.
Maar dat is gelukt. Deel de lessen daaruit.
Is het voor Logius nog veel werk om die overstap te organiseren?
Want je zei 400.000, maar wat is er dan nu nodig?
Nou, het is veel kleinere groep.
Voor MijnOverheid is het maar een groep van ongeveer 45.000...
die regelmatig op MijnOverheid met alleen gebruikersnaam en wachtwoord inloggen.
Alle overige gebruikers en dat zijn er meer dan 9,5 miljoen van MijnOverheid...
die loggen dus al in met tweefactor of hoger.
Dus die groep is wat kleiner. Dat was het eerste werk...
om even in kaart te brengen, hoe groot is de groep die we hier bedienen?
En het is heel belangrijk dat je een goede communicatie hebt.
Dus je ziet al een aantal maanden, vanaf de zomer, als je inlogt op MijnOverheid:
Let op. Vanaf 5 januari moet je tweefactor of hoger hebben om in te loggen.
Dus dat communicatiegedeelte vinden we heel belangrijk.
Want je wilt natuurlijk niet dat er ongelukken gebeuren, figuurlijk gezien.
Ja, want het probleem met MijnOverheid is, zodra we dat naar tweefactor brengen...
als je dat niet hebt, kan je niet meer bij je berichten.
Dus dan kun je belangrijke berichten missen en dat willen natuurlijk tegengaan.
Dus wat we doen, is aan de ene kant het nu al heel lang communiceren via onze website.
En de andere kant zijn we ook bezig met het creëren van een fysieke brief.
Dat klinkt eenvoudig, maar dat is heel lastig.
Vanwege natuurlijk de AVG en technische beperkingen die we daar hebben.
Maar die brief komt er zeer waarschijnlijk en daarin staat niet alleen...
de aankondiging dat MijnOverheid overgaat per 5 januari...
maar ook staat erbij dat de Belastingdienst al over is en andere organisaties...
die ofwel net over zijn, Belastingdienst was 1 oktober...
of binnenkort overgaan dus daarin wordt ook verteld wat we doen...
en hoe je je als burger voor moet bereiden en wat er allemaal klaarligt voor hen om...
de overstap zo makkelijk mogelijk te maken. =-dat is een belangrijke brief.
Er komt net een vraag binnen, Marjolein. Die leg ik je graag voor:
Niet iedereen is digitaalvaardig. Is daar ook aandacht voor?
Pas was er een item in het nieuws van laaggeletterden.
Klopt, hè? Wordt altijd weer gezegd, dat zijn er 2,5 miljoen in Nederland.
De termen die allemaal voorbij vliegen, Theo, maken het er niet makkelijker op.
Dit is wel heel erg een business2business Logius voor vakmensen webinar.
Misschien moeten we dat niet als standaard nemen, maar ik begrijp uw gevoel.
Maar ze zegt ook: Let op de termen die je gaat gebruiken in zo'n brief.
Ja, heel goed. Dat is inderdaad iets waar we heel erg mee bezig zijn.
Zo verdienen we ook 'n Computable Award, denk ik.
Omdat we steeds bij de burger checken: Is dit duidelijk?
Wat we specifiek voor deze brief gedaan hebben...
we hebben al een paar concepten gehad.
We zijn naar bijvoorbeeld, naast allerlei andere testen...
naar de kringloopwinkel gegaan in Amersfoort...
om te vragen aan mensen die geen smartphone en geen computer hebben:
Snap je wat hier staat? En zo toetsen we dat dus heel goed bij de doelgroep.
En we hebben natuurlijk contact met de bibliotheken...
die de IDO's hebben ingericht, Informatiepunt Digitale Overheid.
Die worden ook voorbereid. En we hebben een callcenter, je kan gewoon bellen.
Ook die mensen zijn allemaal goed voorbereid.
En de brief wordt verzonden in tranches, zodat je niet uren in de wacht staat.
Jullie hadden toen 3,5 miljoen mensen om rekening mee te houden.
Wat hebben jullie gedaan bij het UWV om deze communicatie te stromen?
We zijn ongeveer een half jaar van tevoren begonnen met communiceren.
Dat hebben we direct en indirect gedaan.
Wat we direct gedaan hebben, is dat we op onze eigen portalen...
natuurlijk de informatie neergezet hebben dus uwv.nl en werk.nl.
Verder hebben we aan directe communicatie gedaan dat we de WW-gerechtigden bij ons...
een brief gestuurd hebben met deze informatie.
Dat was de grote groep die toen digitaal moest communiceren met UWV.
En wat we indirect gedaan hebben, is dat we bijvoorbeeld patiëntenorganisaties...
of patiëntenfederaties betrokken hebben...
en die hebben ook in hun eigen nieuwsbrieven en op hun eigen websites...
mensen geïnformeerd, zodat we ook klanten van ons...
die wat minder vaak met ons contact hebben...
zoals mensen die langdurig in de WIA zitten, bijvoorbeeld...
toch via die andere kanalen konden bereiken.
Dus we hebben geprobeerd zo divers mogelijk verschillende mensen...
op verschillende manieren te bereiken.
Is het jullie intentie om bepaalde organisaties mee te nemen en te gebruiken?
Ja, zeker. We nemen sowieso de afnemers die ook naar tweefactor gaan mee in die brief.
En onze partners als bibliotheken, IDO's, maar ook alle andere cursussen...
die daaromheen bestaan voor het gebruik van digitale overheid, die informeren we.
En we gebruiken het hele netwerk om dit zo goed mogelijk te faciliteren.
Anja van het Hoogheemraadschap Hollands Noorderkwartier...
waterschap in Noord-Holland, vraagt:
komt er nog een publiekscampagne voor de tweetrapsinlog?
Nee, publiekscampagne niet, want het gaat om 40.000 mensen.
Ja, het is below the line, zoals dat in marketing heet, brieven, organisatie...
Zo gericht mogelijk, dus we benaderen de groep die het nodig heeft.
En als iemand die deadline mist van 5 januari? Kan niet meer inloggen.
Dan gaan we ons inspannen om de vinkjes, de gebruikers van MijnOverheid kennen dat...
je geeft een vinkje bij een organisatie als je er digitale post van wil ontvangen.
En voor die groep gaan we onderzoeken of we die vinkjes uit kunnen zetten...
om verwarring te voorkomen dat er een brief is afgeleverd in de Berichtenbox...
maar dat ze die niet kunnen zien. Dat willen we natuurlijk voorkomen.
En ook daar heb je weer op stapel... =-Dus ze moeten die brief fysiek krijgen.
Ja, zo werkt het sowieso.
Zet je het vinkje uit, krijg je een fysieke brief van de verzendende organisatie.
Dus daar zorgen jullie voor, dat er geen communicatie niet plaatsvindt...
omdat die mensen niet aanhaken.
Een andere uitdaging waar je tegenaan loopt bij die tweefactor is het machtigen.
Eerst even naar UWV, daar hadden jullie ook een uitdaging mee toen.
Toen wij overgingen, ik geloof nu 3,5 jaar geleden...
toen waren er nog wat meer problemen mee dan er nu zijn.
Toen waren bijvoorbeeld Nederlanders in het buitenland een uitdaging.
Mensen moesten in het buitenland naar kantoor komen om een DigiD te regelen.
Tegenwoordig gaat dat geloof ik via videobellen, ik kijk jullie even aan.
Je hoeft niet naar de ambassade.
Mensen moesten dus vaak uren reizen om überhaupt aan een DigiD te kunnen komen.
Dat hoeft niet meer. In die tijd konden ook gedetineerden...
mensen die in de gevangenis zitten, geen gebruik maken van tweefactorauthenticatie.
Omdat die geen mobiele telefoon mochten hebben. Daar zijn nu oplossingen voor.
Dus veel uitdagingen die we toen hadden, zijn inmiddels behoorlijk getackeld.
Er is nog één restgroep waar we echt nog wel een uitdaging hebben...
en dat zijn de bewindvoerders.
Dus de professionals die de zaken behartigen voor cliënten.
En daar is nog geen oplossing voor, dus die gaan nog op papier.
En dat is iets waar we hopen in de nabije toekomst, samen met Logius...
toch ook oplossingen voor te gaan vinden.
Maar er is in de tussentijd al veel gebeurd om dit soort probleem op te lossen.
Want jullie hebben ook mensen die iemand anders zouden willen machtigen...
om hun MijnOverheid box, je demente moeder, bijvoorbeeld...
Zitten die oplossingen er al wel in? Dat dat met tweefactor kan?
Terwijl je niet de systemen van moeder kan gebruiken?
Het machtigen gebeurt via degene die de brieven verzendt.
Dus de afnemers noemen we dat, UWV heeft dat zo georganiseerd.
Belastingdienst heeft dat zo georganiseerd. Wat we nu nog verwachten aan te treffen...
is dat voor de MijnOverheid Berichtenbox mensen informeel geautoriseerd zijn.
Dus ze hebben gewoon hun wachtwoord en gebruikersnaam afgegeven aan de buurman.
En dat komt wel bovendrijven als we overgaan op tweefactor...
want dan werkt dat niet meer, dus die groep...
we verwachten daar nog wel wat verrassingen voor mensen naar boven komen...
die zich daar niet zo scherp van bewust zijn.
Maar dat machtigen is in place en dat kan gebruikt worden om dat op te lossen.
Volgens mij, ik hoorde het je net indirect doen, daag je Logius altijd een beetje uit.
Is er nog een laatste tip, tot slot van deze Roadshow?
Nou ja, wat heel fijn is voor ons...
is dat de tweefactorauthenticatie steeds meer wordt.
Want er komt een nieuwe wetgeving aan, de wet digitale overheid.
En die wet gaat ons straks verplichten om voor bepaalde dienstverlening...
een nog hoger niveau te gaan nastreven dan machtigen.
Ik moet altijd heel hard nadenken over hoe die ook alweer heet.
Dat heet substantieel, had ik hier in m'n aantekeningen opgeschreven.
Voor een deel van onze dienstverlening zullen we daartoe over moeten...
als we aan de wet digitale overheid moeten gaan voldoen.
En de stap voor de burger om die stap weer te gaan maken, is veel kleiner...
als ze al op tweefactorauthenticatie over zijn.
Dus wij zijn heel blij dat steeds meer organisaties die tweefactor doet.
Zodat de groep die dat nog niet heeft steeds kleiner wordt.
En die stap straks ook makkelijker genomen zal kunnen gaan worden.
Dus wat dat betreft zijn we heel blij met deze ontwikkeling.
Ja, Marjolein, een goede ontwikkeling dus. -Ja, wij zijn er blij mee.
Fijn ook, die prijs. Het gevoel dat je op de goede weg bent, zullen we maar zeggen.
Hopelijk win je volgend jaar weer een Computable Award.
Want dan heb je het goed gedaan.
Daar komt het eigenlijk op neer. Belangrijkste boodschap van deze dag?
Ik wil eigenlijk doorgaan op het laatste onderwerp.
Ik denk dat tweefactorauthenticatie echt, dat doen we niet voor ons...
dat doen we niet om iedereen te pesten, maar dat doen we echt...
om de gegevens van iedereen goed te beschermen.
En eigenlijk is mijn oproep om, zoals we zelf hebben gedaan met MijnOverheid...
dat andere afnemers die dit ook nog hebben ook naar dat niveau gaan.
Want het is echt een stuk veiliger. Het toegankelijkheidsvraagstuk is belangrijk...
maar ik kan ook iedereen geruststellen, ook mijn moeder...
is nu over op een sms naar de vaste telefoon...
waarvan ik dacht: Dit gaat nooit begrepen worden.
Het wordt echt begrepen. =-een sms naar een vaste telefoon.
Het werkt. =-interessante zin.
Maar het werkt. Het wordt voorgelezen en dan kan je gewoon inloggen.
Theo van Diepen, Marieke van der Bom, Marjolein van Abbe, dank je wel.
Fijn dat jullie bij mij aan tafel zaten.
Dat was hem alweer, de Logius Remote Roadshow.
En de boodschap is: Investeer in veiligheid...
en ga in ieder geval naar tweefactor als je daar nog niet was.
Als afnemer van welke dienst van Logius dan ook.
Ik ben Maarten Bouwhuis, het was me een groot genoegen om deze Roadshow te leiden.
Dank voor het kijken, dank voor het volgen. Kijk het terug, geef 't door aan collega's.
Bedankt voor al het chatten en heel veel succes met de implementaties. Dag.
Roadshow 10 maart 2022
Tijdens deze Roadshow sprak Geert Nederhorst over de ontwikkelingen van Logius, de digitale overheid en de impact van corona op uit- en thuiswerken. Vervolgens vertelden een aantal Logius collega's over de ontwikkelingen rondom MijnOverheid en het Federatief Berichten Stelsel, het Platform Stelsel van Basisregistraties, de innovaties met het Standaard Platform, en de ontwikkelingen bij DigiD en DigiD Machtigen.
Terugkijken
U kunt deze show downloaden en terugkijken op VIMEO.