1. Tweede netwerk bijeenkomst
Maarten Wegdam, projectleider
29 september 2010

2. Agenda
10:00 Opening en status cidSafe
10:20 De visie van de Rabobank
10:50 cidSafe oplossingsrichting
11:30 Pauze
11:45 Discussiesessie
12:30 Wrap-up
12:45 Lunch + netwerken
2

3. cidSafe initiatief
a safe consumer identity
• High-trust consumer identity
• Consortium project, sinds 2010Q1
• Doel: doorbraak voor high-trust consumer
g
identity in Nederland
• K t termijn d l of en hoe dit mogelijk i
Korte t ij doel: f h lijk is,
met een initiele focus op de financiele sector
3

4. Wie ABN-AMRO,
ABN AMRO
ING, RBS
Partners
Achmea, Aegon, Adfiz,
Klankbord Nationale N d l d
N ti l Nederlanden,
groep OHRA,SNS Reaal
4

5. Oplossing in 5 bullets
1. Hergebruik van identiteiten
2.
2 Externe identityprovider
3. Trust framework, met governance en audits
4. Technologie onafhankelijk
g j
5. Schaalbaar, o.a. door Levels of Assurance
Belofte: goedkoper, makkelijker en veiliger …
5

6. Consortium aanpak
• Incrementeel werkt niet
• 100% (?) van de consumenten
• Kip en ei: identiteitsprovider en
dienstenaanbieder
• Balanceren belangen
• Delen investeringen in totstandkoming
• Draagvlak
6

7. Status cidSafe
• Rapport over buitenlandse cases
• Whitepaper over gebruik DigiD/BSN
• Klankbordgroep
• Rol overheid en relatie eHerkenning
• Business case
• Visie en uitgangspunten consolideren
7

8. Oplossingsrichting
Uitgangspunten
g g p
Voordelen voor service providers
Top 5 vragen

9. Trust framework
Afspraken waar alle spelers zich
Af k ll l i h
aan moeten houden
Meer vertrouwen en een gezond ecosysteem
• Nieuwe identity providers kunnen toetreden
• Dienstenaanbieders kunnen makkelijk gebruik maken
van alle identity providers (schaalbaarheid)
• Balanceren van belangen van identity providers
providers,
dienstenaanbieders en gebruikers
• Privacy afspraken
• Governance / audits
9

10. Uitgangspunten cidSafe
1. Algemeen gebruik
2.
2 Betrouwbaar
3. Gebruikersgemak
4.
4 Kostenefficiënt voor dienstenaanbieders
K t ffi ië t di t bi d
5. Privacy sensitief
10

11. Uitgangspunten cidSafe
1. Algemeen gebruik
2.
2 Betrouwbaar
3. Gebruikersgemak Authenticatie middel
onafhankelijk
4.
4 Kostenefficiënt voor dienstenaanbieders
K t ffi ië t di t bi d
Meerdere
5. Privacy sensitief
Aansluiten EU,
sectoren
standaarden etc
11

12. Uitgangspunten cidSafe
1. Algemeen gebruik
2.
2 Betrouwbaar
3. Gebruikersgemak
4.
4 K t ffi ië t Audits van afspraken
Kostenefficiënt voor dienstenaanbieders
di t bi d
Veilig niveau
5. Privacy sensitief
g
e-banking
Betrouwbare attributen
(naam, NAW, etc)
12

13. Uitgangspunten cidSafe
1. Algemeen gebruik
2.
2 Betrouwbaar
3. Gebruikersgemak
4.
4 Kostenefficiënt voor dienstenaanbieders
K t ffi ië t di t bi d
5. Privacy sensitief
Consument kan 1 sleutel Frequent gebruik
bij vele dienstverleners
g
gebruiken
13

14. Uitgangspunten cidSafe
1. Algemeen gebruik
Technisch eenvoudig
2.
2 Betrouwbaar aansluiten
3. Gebruikersgemak
4.
4 Kostenefficiënt voor dienstenaanbieders
K t ffi ië t di t bi d
5. Privacy sensitief
Delen kosten voor authn Contractueel eenvoudig
middel en binding met aansluiten
vele partijen
p j
14

15. Uitgangspunten cidSafe
1. Algemeen gebruik
2.
2 Betrouwbaar State-of-the-art privacy by
State of the art privacy-by-
design & privacy-enhancing
3. Gebruikersgemak
technologies
4.
4 Kostenefficiënt voor dienstenaanbieders
K t ffi ië t di t bi d
5. Privacy sensitief
Gedragsregels Informed consent
m.b.t. privacy
p y
15

16. Vier voordelen voor dienstenaanbieders
meer business
gebruikers-
gebruikers
veiliger
vriendelijker
minder k t
i d kosten
16

17. Gebruikersvriendelijker
• Gebruikers willen herbruikbare, vertrouwde, identiteit
“Ze kunnen daarbij kiezen tussen inloggen met hun DigiD of
inloggen met hun patiëntnummer gebruikersnaam en
patiëntnummer,
wachtwoord. ‘Ruim 80 procent kiest voor de eerste optie,’
zegt Van Aken.”
bron: Zorgvisie.nl, 18 januari 2010
• Gebruikers vergeten wachtwoord bij <1/maand
g
gebruik
“als een eID minder dan 15 keer per jaar gebruikt wordt,
vergeten gebruikers hun wachtwoorden/PINs”.
bron: Forrester, Government eID Projects Need Private Sector Initiative And
Support For Broader Success, April 7, 2008
17

18. Veiliger
• Beter registratie proces mogelijk
• Veiligere authenticatiemiddelen mogelijk
• Vermijden ‘re-use’ wachtwoorden
“73 percent of users were using the password for their
online bank sites to access at least one other website”
Too man people re se their logins Net ork World Febr ar 2010
many re-use logins, Network World, February
• Meer expertise bij identity providers dan bij service
providers
18

19. Minder kosten Ramingen kosten
variëren: 2-80ct
per transactie
• Delen kosten met vele partijen
• Hergebruik zorgt voor minder identiteiten per consument
• Minder helpdesk en andere kosten door vergeten
wachtwoorden
“Gartner estimates that password‐related Help Desk calls – such
as password resets - cost an average of $17 per call”
Too
T many people re-use th i l i
l their logins, N t
Network W ld F b
k World, February 2010
• Drastische reductie beheerslast van identiteiten
• Simpelere (back-end) processen
“over h t B l i h eID: M t gebruik van d e-id k t herleiden
“ het Belgische ID Met b ik de id kaart h l id
we het administratief proces van dertien stappen naar zes.”
bron: Data news - nr 5 - 10 februari 2006
• Kanaalsturings effecten: meer internet, minder post &
g , p
telefoon
19

20. Meer business
• Hogere conversie
“because of required registering, one-quarter leave
the site without registering or purchasing.”
bron: Forrester, “Required Registration Lowers Online Conversion Rates”, April 15, 2008
France Telecom … found that at every new screen
“
presented during sign up 50% of users give up and
up,
go elsewhere.”
bron: “How will OpenID change your site?”, Blog Peter Nixey (Founder of
Clickpass)
• Meer bezoek bestaande klanten door
gebruikersgemak
• Enabler geïntegreerde diensten (service
bundling) met partners
20

21. Top vijf kritische vragen
• Veiligheid: het ultieme phishing target?
• Hoe account linking zonder gebruik BSN?
• Privacy van de consument?
• Afhankelijkheid van vele Identity Provider?
j y
• Waarom lukt dit en eerdere initiatieven niet?
21

22. Veiligheid: het ultieme phishing
target?
Situatie een identiteit die herbruikbaar is bij vele
online diensten is extra aantrekkelijk
voor attacks
Antwoord • Identity providers hebben meer geld ter
beschikking d d t k t gedeeld
b hikki doordat kosten d ld
worden met vele partijen -> veiligere
authenticatie middelen en binding mogelijk
• In vergelijking met silo aanpak is er hogere
expertise bij paar identity providers dan bij
vele dienstverleners
22

23. Hoe
H account li ki zonder gebruik BSN?
t linking d b ik
Situatie een klant meldt zich online, hoe zeker te weten
welke interne klant identifier dit is (zonder unieke
identifier a la BSN)
• Situatie: een klant meldt zich online, hoe zeker te weten
welke interne klant identifier dit is (zonder unieke identifier a
Antwoord
la BSN) Klant krijgt unieke en p
• jg persistent psuedoniem van
p
zijn identity provider, dus probleem geldt alleen bij
• Antwoord eerste bezoek
• Klant krijgt unieke en persistentrijke set aan van zijn identity
• Identity provider geeft psuedoniem gevalideerde
provider, dus probleem(NAW, geboortedatum,
attributen mee geldt alleen bij eerste bezoek
geboorteplaats)
• Identity provider geeft rijke set aan gevalideerde attributen mee
(NAWAfhankelijk van veiligheidsniveau kan klant om
• geboortedatum,
(NAW, geboortedatum geboorteplaats)
‘semi’ geheim zoals klantnummer gevraagd worden.
• Afhankelijk van veiligheidsniveau kan klant om ‘semi’ geheim
zoals Aanvullend kan de klant op thuisadres een de klant
• klantnummer gevraagd worden. Aanvullend kan brief
op thuisadres een brief krijgen, een moeten terugsturen of
p krijgen, een handtekening handtekening moeten
jg , g
terugsturen of zelf een fysieke controle.
zelf een fysieke controle.
23 zie tab beeld/kop- voettekst om dit te wijzigen

24. Privacy van de consument?
Situatie Introduceert dit niet een privacy probleem?
Antwoord • In het trust framework worden privacy eisen
gesteld aan identity providers en
dienstenaanbieders
• We gebruiken state-of-the-art privacy denken
zoals informed consent en attributen delen (bv
alleen 18+).
• Consumenten kunnen kiezen voor meerdere
identity providers, indien gewenst.
• We introduceren geen unieke identifier
24 zie tab beeld/kop- voettekst om dit te wijzigen

25. Afhankelijkheid van vele Identity
Providers?
Situatie Voor de dienstverlening (continuiteit,
veiligheid) is er een externe afhankelijkheid
naar vele identity providers
Antwoord • Er zijn strenge toelatingseisen voor identity
providers, die objectief getoetst worden
• Er zijn afspraken rondom SLA en veiligheid,
identity providers die dit breken mogen niet
yp g
meer meedoen
• Er zijn afspraken rondom liability
25 zie tab beeld/kop- voettekst om dit te wijzigen

26. Waarom lukt dit en eerdere initiatieven niet?
Situatie Er zijn eerdere pogingen geweest om een generieke
consumer identiteitsoplossing te introduceren in
p g
NL
Antwoord • Timing: de noodzaak is nu groter:
• Consumenten willen meer online dienstverlening
dienstverlening,
• Kostenbesparingen vragen om meer online
dienstverlening
• Meer cybercrime
• De technologie en standaarden zijn volwassener
• Aanpak: consortium aanpak vanwege realisatie dat
p p g
deze markt niet incrementeel zal groeien, vragers en
aanbieders samen brengen en onder regie van
onafhankelijke expertpartij
expertpartij.
26 zie tab beeld/kop- voettekst om dit te wijzigen

27. Agenda
10:00 Opening en status cidSafe
10:20 De visie van de Rabobank
10:50 cidSafe oplossingsrichting
11:30 Pauze
11:45 Discussiesessie
12:30 Wrap-up
12:45 Lunch + netwerken
27

28. Wrap-up

29. cidSafe fase 1 afronden
• Business case
• Visie en uitgangspunten consolideren
• Relatie overheid en eHerkenning
• Behoefte en urgentie in financiële sector
GO / NO GO
NO-GO
• Fase 2 vanaf dec 2010, mogelijke ingrediënten
• Trust framework definieren
• Pilot
• Verbreding in financiële sector, en andere sectoren
29

30. LUNCH! http://cidsafe.novay.nl
maarten.wegdam@novay.nl
Blog: http://maarten wegdam name
http://maarten.wegdam.name
30