Heb je plannen met IRMA?

Lees vooral verder

Product Shot

Aan de slag met IRMA

Steeds meer mensen hebben de IRMA-app op hun telefoon en steeds meer organisaties willen het mogelijk maken dat mensen zichzelf bekend maken met IRMA, bijvoorbeeld om in te loggen, om zich via de telefoon bekend te maken, of om te videobellen met zekerheid over wie er deelneemt. Op deze pagina worden de belangrijkste punten van IRMA op een rijtje gezet, om duidelijk te maken wat IRMA biedt en waar je op moet letten als je IRMA wil gaan gebruiken.

Welke partijen spelen een rol?

Gebruikers zijn de mensen die IRMA op hun telefoon hebben, met daarin kaartjes met persoonsgegevens; gebruikers maken zich met IRMA bekend door (relevante) gegevens van die kaartjes te onthullen.
Verifiers zijn de organisaties die iets willen weten van gebruikers en die informatie opvragen via IRMA; verifiers zijn de partijen aan wie gebruikers hun gegevens onthullen.
Issuers zijn de organisaties die aan gebruikers persoonsgegevens over henzelf uitgeven, in de vorm van kaartjes in hun IRMA-app; gebruikers kunnen zich vervolgens bekend maken aan verifiers met de gegevens op die kaartjes.

Voorbeeld issuers en verifiers

Een belangrijke issuer is de gemeente Nijmegen die een aansluiting heeft gemaakt op de Basisregistratie Personen (BRP) die voor iedereen beschikbaar is. Daarmee kan iedere gebruiker, ook als die niet in Nijmegen woont, kaartjes in de IRMA-app krijgen met gegevens die de overheid heeft, zoals naam, geboortedatum, BSN, adres en leeftijdsgrenzen. Een webwinkel kan als verifier vragen om deze adresgegevens voor bezorging. Met IRMA kunnen organisaties zowel issuer als verifier zijn: een warenhuis kan in de rol van issuer (eenmaal) een klantenkaart aan een gebruiker uitgeven als kaartje in IRMA en in de rol van verifier dat kaartje (meermaals) opvragen bij online bestellingen.

IRMA biedt zekerheden maar schept ook verplichtingen. Die zijn verschillend voor gebruikers, voor verifiers en voor issuers.

Gebruikers

Kaartjes tonen

In hun IRMA-app hebben gebruikers een overzicht van welke kaartjes ze hebben geladen (bij issuers). Een verifier kan aan een gebruiker vragen om zich bekend te maken met (een combinatie van) gegevens op die kaartjes, typisch via een "login" knop of via een link op de website. Wanneer de gebruiker op de eigen telefoon daarop klikt start de IRMA-app vanzelf. Wanneer op een aparte computer of laptop geklikt wordt verschijnt eerst een QR-code die door de gebruiker gescand kan worden, met de IRMA-app. Binnen de app komt er dan een scherm waarop zichtbaar is welke verifier om welke gegevens vraagt.

Zekerheid voor gebruikers

IRMA biedt de gebruiker zekerheid in de vorm van transparantie: de IRMA-app toont wie wat wil weten. De app vraagt de gebruiker expliciet om toestemming om de gevraagde persoonsgegevens te onthullen aan een verifier. Je kan als gebruiker niet aanpassen welke gegevens door een verifier gevraagd worden, maar soms heb je wel opties. Je hebt misschien verschillende e-mailadressen in je IRMA-app geladen, op verschillende kaartjes. Als een verifier dan om je e-mailadres vraagt, heb je zelf de optie welk adres (van welk kaartje) je onthult. Uiteindelijk is het altijd de gebruiker die beslist over het wel-of-niet onthullen van de gevraagde gegevens.

Verplichtingen voor gebruikers

De gebruiker moet niet blind op de "ja" knop drukken en daarmee zomaar akkoord gaan met het doorgeven van de eigen gegevens aan een verifier. Het is verstandig eerst even goed te kijken wie wat vraagt voor welke dienst. De IRMA-app is een krachtig middel waarmee gebruikers veel van zichzelf kunnen onthullen. Dat geeft regie maar vereist ook voorzichtigheid. Die voorzichtigheid is een verplichting van de gebruiker ten opzichte van zichzelf. Zoals we verderop zullen zien mogen verifiers alleen om noodzakelijke gegevens vragen. Een online muziekwinkel mag niet om je geboortedatum vragen, gewoonweg omdat een geboortedatum niet noodzakelijk en relevant is om jou een CD te verkopen. Grote, bekende organisaties zullen zich waarschijnlijk wel netjes gedragen en zullen niet te veel gegevens vragen, maar als gebruiker moet je wel waakzaam blijven. Als een verifier duidelijk om te veel van jouw gegevens vraagt, moet je vooral niet akkoord gaan. Je kunt dan een klacht indienen bij die verifier zelf, of bij de Autoriteit Persoonsgegevens.

Verifiers

Gegevens van kaartjes vragen

Een verifier is een organisatie die gebruikers vraagt om persoonsgegevens te onthullen die in hun IRMA-app zijn opgeslagen (op kaartjes). Met die gegevens kan bijvoorbeeld ingelogd worden bij de verifier, of kan automatisch een formulier ingevuld worden, of kan een telefoon/video gesprek gestart worden.
Er zijn geen technische beperkingen aan wat een verifier kan vragen -- maar wel juridische, zie verderop. De verifier kan in principe helemaal zelf kiezen welke gegevens hij aan gebruikers vraagt, uit welke kaartjes. De kaartjes in IRMA bevatten een digitale handtekening van de issuer. Hiermee kan de verifier zelf (cryptografisch) controleren welke partij de kaartjes uitgegeven heeft en daarmee garant staat voor de juistheid van de gegevens. Deze handtekening geeft de verifier zekerheid over wie de issuer is van het kaartje. De verifier moet zelf inschatten of hij een issuer betrouwbaar genoeg vindt.
Soms staat een bepaald gegeven, zoals een naam, op verschillende kaartjes. De verifier kan dan zelf de keuze maken ("ik wil de naam specifiek van dat kaartje") of de gebruiker een optie geven ("ik wil de naam van een van deze kaartjes; kies zelf maar welke je geeft"). Net zo kun je in veel situaties kiezen of je een paspoort of een rijbewijs toont.
Er zijn juridische beperkingen aan wat een verifier mag vragen. De Algemene Verordening Gegevensbescherming (AVG) beschrijft verplichtingen voor verifiers, waaronder met name doelbinding en data-minimalisatie. Dit houdt in dat verifiers alleen om die gegevens mogen vragen die noodzakelijk zijn voor de geboden dienst.

Data-minimalisatie voorbeelden

Stel je wil als verifier op je website korting geven aan studenten. Mensen die werken of studeren aan een onderwijsinstelling kunnen een "academisch" kaartje in hun IRMA-app laden met daarop hun naam, e-mailadres, nummer en instelling en status (medewerker/student). Je mag als verifier, voor het doel "korting" vragen dat de gebruiker aantoont: status is student. Maar je mag niet ook nog vragen om de instelling waar deze persoon studeert, of om het studentnummer. Die gegevens zijn niet noodzakelijk.

Vaak willen organisaties een naam en geslacht weten enkel om hun klanten beleefd te kunnen benaderen met: Beste Mevrouw Jansen, [boodschap]. Echter, naam en geslacht zijn niet noodzakelijk om beleefd te zijn. De organisatie kan klanten ook benaderen met een generieke formulering: Beste Mijnheer, Mevrouw, [boodschap]. Opvragen van namen vanuit IRMA, enkel voor een beleefheidsdoel, mag dus niet.

Een online boekwinkel mag vragen om het adres van een klant voor bezorging van een fysiek boek, maar mag dan weer niet vragen om het adres als de klant een e-book koopt dat gedownload kan worden.

Om een bevestiging van een bestelling naar een klant te sturen mag je als webwinkel vragen om een e-mailadres of een mobiel nummer. Je kunt vervolgens klanten met zo'n adres of nummer ook in laten loggen (via IRMA). Inloggen met een wachtwoord is dan niet meer nodig.

Tips voor verifiers

Deze doelbinding en data-minimalisatie eisen zijn over het algemeen logisch en vanzelfsprekend, maar je moet er als verifier wel even goed over nadenken. Het BSN is een heel gevoelig persoonsgegeven dat je als verifier alleen op mag vragen als je een wettelijke basis hebt om het BSN te verwerken. Bedenk daarbij ook dat het voor iedereen zichtbaar is om welke gegevens je vraagt met IRMA. De Autoriteit Persoonsgegevens kan het dus ook makkelijk controleren -- en kan zonodig ingrijpen.
Als je als verifier IRMA gebruikt hoef je sommige gegevens niet meer zelf op te slaan. Je kunt ze immers iedere keer opnieuw opvragen bij je gebruikers. Op zo'n manier beperk je ook je eigen risico's. Want wat je niet opslaat, kun je ook niet kwijtraken, door een hack of door een slordigheid. Om terugkerende klanten te herkennen kun je als verifier besluiten ook issuer te worden (zie later) en een eigen klantkaartje in IRMA uit te geven, met een klantnummer en eventueel andere relevante informatie.
Het gebruik van IRMA door verifiers is in principe gratis. Een verifier moet wel een "IRMA knop" op de eigen website inbouwen. Daarvoor is open source software beschikbaar, die ook gratis is. Een handige programmeur heeft IRMA in een paar uurtjes werkend. Je moet als verifier wel zelf een IRMA-server draaien en onderhouden. Er is 24/7 support beschikbaar voor het geval er iets misgaat met IRMA, maar daar betaal je wel voor. Als je geen eigen IRMA-server wil beheren, kun je een "ontzorg" dienst afnemen, via een broker die functioneert als IRMA verifier, namens jou. Je betaalt dan een tarief per login actie. Zo'n broker verwerkt gegevens van gebruikers namens jou. Dat is minder privacy-vriendelijk voor jouw gebruikers dan dat je zelf een IRMA-server in beheer hebt.

Issuers

Verplichtingen voor issuers

Een issuer is een organisatie die IRMA kaartjes uitgeeft aan gebruikers. Dit klinkt eenvoudig, maar het is geen kleinigheid om issuer te zijn in het IRMA ecosysteem. Je hebt als issuer eigenlijk alleen verplichtingen.

  • Je moet als issuer zorgen dat de gegevens op kaartjes juist zijn en aan de juiste persoon uitgegeven worden -- en je moet transparant zijn over hoe je dat garandeert.
  • Je moet zelf een irmaserver draaien en zorgen dat die altijd beschikbaar is, zodat gebruikers ten alle tijden kaartjes bij jou kunnen ophalen (of kunnen verversen).
  • Je moet je ICT-goed op orde hebben en heel zorgvuldig omgaan met een "private key" die het uitgeven van IRMA kaartjes mogelijk maakt.
  • Je moet kaartjes op tijd herroepen, als gegevens niet meer juist blijken te zijn; dit is alleen van toepassing wanneer je als issuer ook revocatie ondersteunt;
  • Je moet ook nog eens betalen om issuer te zijn.

Waarom toch issuer worden?

Gegeven al deze verplichtingen, waarom zou je eigenlijk issuer willen zijn? Het kan een noodzakelijk stap zijn om een groter geheel goed te laten functioneren. Dat is bijvoorbeeld de motivatie voor de gemeente Nijmegen om BRP kaartjes uit te geven, voor gebruik in de zorg, bij de overheid, bij webwinkels, of elders. Maar uitgifte van kaartjes kan ook goed passen in een eigen digitaliseringsstrategie: een warenhuis wil misschien de bestaande plastic klantenkaart vervangen door een digitale kaartje in IRMA. Dan zal het warenhuis die IRMA kaartjes wel eerst uit moeten gaan geven. De kosten en moeite daarvan wegen misschien wel op tegen de voordelen, waaronder de bespaarde (ook milleu) kosten van het niet meer uitgeven en vervangen van plastic kaartjes. Als issuer moet je er rekening mee houden dat iedere verifier in principe jouw kaartjes op kan vragen. Dat is niet altijd zinvol, maar het kan wel. Net zo kan ook nu iedere winkel aan klanten vragen of ze een AH-bonuskaart hebben. Om issuer te worden moet je een contract tekenen met de organisatie achter IRMA, waarin de bovengenoemde verplichtingen netjes geregeld worden.