Blog Legal Look: Victor de Pous over veilige authenticatie

  1. 13 nov 2014
  2. 0 reacties

Victor de Pous

> Gaat DigiD veranderen?

Elektronische identiteiten en elektronische vertrouwensdiensten zijn essentieel voor cloud computing. Zo’n eID voor publiekrechtelijke handelingen betreft DigiD; bedrijven hebben eHerkenning. Dat wordt anders. In 2013 publiceerde BZK namelijk een ontwerp op hoofdlijnen van de werking van het uniforme eID Stelsel NL, dat zich richt op de eerste fase van een nationale infrastructuur voor identificatie, authenticatie en vaststellen bevoegdheid voor het maatschappelijk verkeer via Internet. In het kader van veilige authenticatie wenst Nederland de afhankelijkheid van één middel te verminderen en tevens gebruikers meer keuze te bieden. Er is gekozen voor een ‘multi-middelen’ strategie, terwijl partijen samen aan een publiek-privaat stelsel werken.

> Wat doet de Europese Unie? 

Ook Europa vindt dat de huidige praktijk niet voldoet. De Richtlijn elektronische handtekeningen uit 1999 heeft niet tot het gewenste resultaat geleid. Onvoldoende juridische harmonisatie tussen de lidstaten (fragmentatie) en onvoldoende grensoverschrijdend elektronisch verkeer. Bovendien normeert de richtlijn zich op het rechtskader van slechts één soort elektronische vertrouwensdienst: alleen de handtekening.

Om het vertrouwen in de digitale interne markt te vergroten, heeft Brussel de Verordening Elektronische Identiteiten en Vertrouwensdiensten ontwikkeld, die afgelopen zomer het groene licht kreeg. Daarmee wordt het mogelijk - en gestimuleerd - dat nationale eID stelsels gebruikt kunnen worden voor grensoverschrijdende veilige transacties door wederzijdse erkenning. Enerzijds gaat het om elektronische identificatie. Anderzijds om elektronische vertrouwensdiensten. In totaal worden er zes benoemd: handtekeningen, zegels, tijdstempels, documenten, diensten voor elektronisch geregistreerde bezorging (‘aangetekend’) en certificatendiensten voor website-authenticatie. Alle krijgen dus een wettelijk kader.

> Heeft de AFAS-zaak hier mee te maken?

Dat klopt. Het online huishoudboekje van softwareontwikkelaar AFAS mag geen automatische koppeling naar Internetbankieren van de ING bevatten, aldus besliste de voorzieningen-rechter. Handmatige gegevensuitwisseling blijft overigens wel mogelijk. Volgens de rechter is de automatische functie in strijd met de algemene voorwaarden van de ING. De gezamenlijke boodschap van banken aan hun klanten is dat persoonlijke authenticatiemiddelen geheim moeten worden gehouden om fraude met Internetbankieren te voorkomen. De ING heeft in de algemene voorwaarden daarom opgenomen dat klanten hun persoonlijke inloggegevens niet op een andere site dan die van de ING mogen invoeren. Door het aanbieden van de automatische koppeling in het online huishoudboekje, zet AFAS klanten aan tot het handelen in strijd met de algemene voorwaarden. Dat mag niet, ook als de automatische koppeling op zichzelf bezien veilig zou zijn. AFAS loopt onterecht vooruit op Europese regelgeving op dit gebied, terwijl voor het complexe mededingingsrecht in dit kort geding geen plaats is.

De ING zette zwaar in op informatieveiligheid. Met succes. Afspraak is afspraak. Je mag je inloggegevens niet aan een ander geven, ook niet als een bedrijf een automatische koppeling heeft gemaakt. Het is te gemakkelijk om de consument in deze zaak als verliezer aan te wijzen. Met vereende krachten lukt het eindelijk om Internetbankieren veiliger te maken, ondanks de explosieve toename van cybercriminaliteit in soorten en maten. Laten we vooralsnog pas op de plaats maken.

Mr. V.A. de Pous is bedrijfsjurist en industrie-analist. Hij houdt zich sinds 1983 bezig met de juridische aspecten van digitale technologie en informatiemaatschappij en is medewerker van uitgeverij FenceWorks.

 
Dossiers