Op 17 oktober 2002 is in de openbare vergadering van de commissie Middelen en Bestuur de nota ‘KIS 2 Burger@delft.nl’ behandeld. Naar aanleiding van de behandeling van deze nota is door het College, in de persoon van Wethouder Baljé, toegezegd om een discussie over autorisatie en betaling in de commissie te voeren tegen de tijd dat dit ook daadwerkelijk mogelijk is.

 

Na goedkeuring van de nota heeft de gemeentelijke organisatie hard gewerkt aan het digitaliseren van haar producten en diensten. Met onder andere als doel deze voor de burger toegankelijker te maken. Inmiddels kunnen vele producten en diensten digitaal worden afgenomen. Voorbeelden hiervan gaan van het downloaden van een aanvraagformulier voor bijzonder bijstand tot en met het digitaal doorgeven van een verhuisbericht of een melding grofvuil. Inmiddels zijn meer dan 50 gemeentelijke producten en diensten op deze manier beschikbaar gesteld op het Internet. Maar de ontwikkelingen gaan verder, binnenkort wordt het mogelijk om verschillende uittreksels uit het GBA aan te vragen en te betalen via het Internet.

 

Deze memo geeft aan de hand van de casus ‘het aanvragen van een uittreksel uit het GBA’ weer hoe de gemeente met digitaal betalen en autorisatie omgaat.

 

Uitgangspunt bij digitaal betalen via het internet is dat zowel de gemeente als de aanvrager geen financiële risico’s loopt en dat de betalingen veilig zijn. Bij de autorisatie is het uitgangspunt dat persoonlijke gegevens op zo’n manier worden beveiligd dat er geen sprake kan zijn dat de persoonlijke gegevens beschikbaar komen aan derden. Daarnaast is het uitgangspunt dat met een gelijkwaardige zekerheid als aan de balie het via internet bestelde product wordt toegezonden naar de rechtmatige aanvrager.

 

Casus aanvragen uittreksel uit het GBA

Het bij de gemeente aanvragen van een uittreksel uit het bevolkingsregister kan binnenkort op verschillende manieren. Allereerst blijft het gewoon mogelijk aan de balie, maar daarnaast ook via website van de gemeente: www.gemeentedelft.info. In onderstaande casus wordt uitgewerkt op welke wijze het aanvragen van een uittreksel via het Internet mogelijk wordt. Hierbij wordt aandacht besteed aan de procedure van de aanvraag zelf, als de beveiligingsaspecten op het gebied van betalen en autorisatie.  

 

Een willekeurige inwoner van Delft gaat naar de website van de gemeente. Onder de rubriek producten en diensten op de website staat het product uittreksel bevolkingsregister. Wanneer hier op wordt geklikt komt een pagina tevoorschijn waarop wordt uitgelegd welke uittreksels kunnen worden aangevraagd, met daarbij de nodige informatie over de uittreksels. De gemeente verleent vijf soorten uittreksels uit het bevolkingsregister. Een algemeen uittreksel, een uittreksel t.b.v. rijexamen, een uittreksel met vermelding van burgerlijke staat en nationaliteit, een uittreksel met vermelding van datum inschrijving op adres, het aantal ingeschreven bewoners en de burgerlijke staat en een uittreksel met vermelding van datum vestiging in Nederland, land van herkomst en nationaliteit.

 

Nadat een keuze is gemaakt voor het juiste uittreksels wordt de aanvrager gevraagd om zijn of haar sofi-nummer en geboortedatum(zie figuur 1).

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Een emailadres voor een ontvangstbevestiging kan worden ingevuld, maar is niet verplicht. Het achterliggende systeem controleert het sofi-nummer en de geboortedatum met dezelfde gegevens uit het GBA zoals deze bij de gemeente Delft bekend zijn. Wanneer de combinatie klopt dan is met redelijke zekerheid bekend wie de aanvrager van het uittreksel is. De voornamen die horen bij deze combinatie van het sofi-nummer en de geboortedatum worden getoond als visuele controle voor de aanvrager.

 

De volgende stap is het betalen van het uittreksel. Voor de betaling wordt de aanvrager meegenomen naar een aparte website van Interpay. Interpay zorgt ervoor dat op een veilige manier kan worden betaald met behulp van een creditcard (Visa, MasterCard en straks ook AmericaExpress)[1]. Van het uitstapje naar Interpay merkt de aanvrager niet veel, omdat de vormgeving  gelijk is aan die van de gemeente Delft. Wanneer de betaling is goedgekeurd door Interpay (BNG bank) dan wordt het uittreksel automatisch geprint bij de afdeling Burgerzaken en krijgt de aanvrager direct een e-mail met de melding dat het uittreksel wordt verstuurd. Het uittreksel wordt vervolgens ‘s ochtends, na controle, verstuurd naar het adres zoals deze in het GBA van gemeente Delft is geregistreerd. De reden om dit naar het adres te doen zoals dit in het GBA van de gemeente is geregistreerd, is omdat op deze manier de kans dat het uittreksel in verkeerde handen valt nog verder wordt beperkt.

Veiligheid

Wat gebeurt er achter de schermen en wat is er aan veiligheid gedaan op het gebied van betalen en autorisatie?

 

Voor de veiligheid rond betalingen is in deze uitwerking gekozen om de betalingen niet via de gemeente te laten verlopen. De totale afhandeling van de betaling wordt geregeld door Interpay (BNG bank), die gespecialiseerd zijn in het beveiligd afhandelen van betalingsverkeer. De aanvrager maakt een uitstapje naar de site van Interpay, regelt daar de betaling en komt na de betaling weer terug op de gemeentesite. Zowel de gemeente als de aanvrager lopen geen financieel risico. Voor wat betreft de gemeente wordt het risico gelegd bij Interpay en de aanvrager loopt geen risico omdat alle betalingen op het Internet met een creditcard zijn verzekerd. De website van Interpay maakt gebruik van een met SSL beveiligde betalingsprocedure. SSL (Secure Socket Layer) is de meest toegepaste beveiligingsmethode; dit protocol zorgt ervoor dat gegevens onderweg niet door derden onderschept kunnen worden

Wanneer de aanvrager heeft betaald krijgt de gemeente meteen een bericht van Interpay of de betaling correct is afgehandeld. Alle transacties worden direct doorgegeven aan het financiële systeem van de gemeente en ook stuurt Interpay (BNG) nog journaaloverzichten van de betalingen voor financiële verantwoording.

 

Op het gebied van autorisatie zijn in deze uitwerking zowel technische als procesmatige beveiligingen toegepast. De procesmatige beveiliging zit in het feit dat controle plaats vindt op basis van gegevens zoals die in het bevolkingsregister van Delft zijn geregistreerd. Iemand die kwaad zou willen moet ten eerste achter een goede combinatie komen van sofi-nummer met geboortedatum, betaald voor een uittreksel, en het uittreksel wordt verstuurd naar het adres uit het GBA. Dit houdt in dat wanneer iemand het uittreksel van zijn buurman aanvraagt het ook naar zijn buurman zal worden verstuurd.

De technische beveiligingen zitten in de versleuteling van gegevens en berichten tussen de gemeente en de aanvrager thuis op z’n PC. Deze versleuteling wordt gerealiseerd met eenzelfde beveiliging die gebruikt wordt door Interpay. De gegevens op de website van de gemeente Delft worden met behulp van Secure Socket Layer (SSL) beveiligd. Zoals gezegd is dit de meest toegepaste beveiligingsmethode op het Internet; dit protocol zorgt ervoor dat de gegevens onderweg niet door derden onderschept kunnen worden. Een website die is beveiligd met SSL is te herkennen aan het feit dat het internetadres van de pagina begint met 'https' in plaats van 'http' (de 's' staat voor 'secure'). Op die manier zijn de berichten die over en weer gaan niet te lezen.

Ook de gegevens waarmee de ingevoerde gegevens van de aanvrager worden gecontroleerd zijn beveiligd. Ten eerste worden maar een beperkt aantal gegevens uit het GBA gebruikt, een zogenaamde subset. Deze subset uit het GBA is strikt beveiligd, doordat deze achter de gemeentelijke firewall is geplaatst. De gemeentelijke firewall is een technisch beveiliging die ervoor zorgt dat er geen mensen van het internet op het gemeentelijke netwerk kunnen komen en dus ook niet bij de GBA gegevens.

Aansluiting bij landelijk ontwikkelingen

Wanneer voor een dergelijke uitwerking van het betalingsverkeer en autorisatie wordt gekozen sluit de gemeente Delft aan bij landelijke ontwikkelingen. Enkele andere gemeenten (bijvoorbeeld de gemeente Dordrecht en Tilburg) zijn Delft reeds voorgegaan met het mogelijk maken van het betalen via internet van gemeentelijke producten. 

 

Om een idee te krijgen van de schermen die de aanvrager te zien krijgt zijn hieronder nog wat schermen afgebeeld. De sofi-nummers zijn in dit document gedeeltelijk afgeplakt vanwege de privacy. De creditcard gegevens zijn test gegevens.