• Annemarie Zielstra, Partner |
  • Renée de Boo, Partner |

U bestaat! Een mens met een eigen identiteit. Onze digitale identiteit en de daaraan gekoppelde mogelijkheden zijn inmiddels verweven met ons dagelijks leven. Winkelen, werken, een afspraak maken voor een coronatest bij de GGD, het is allemaal even vanzelfsprekend online anno 2021.

Parallel daaraan zien we steeds vaker dat digitale identiteiten of toegangsrechten worden misbruikt. Een recent voorbeeld is het - door eigen medewerkers - verhandelen van persoonsgegevens uit de systemen van de GGD.

Onze digitale identiteit begeeft zich in een uiterst complex landschap van systemen, databases en applicaties. Die moeten we goed beveiligen. Maar misschien zijn de processen die de veiligheid van onze identiteit en gegevens waarborgen, nog wel belangrijker. Het incident bij de GGD toont dit - hoe pijnlijk ook - aan. Toch blijft de hardnekkige neiging bestaan technologie en organisatie geïsoleerd van elkaar te besturen.

Technologie creëert ongekende mogelijkheden, maar maakt overheden, burgers en bedrijven tegelijkertijd kwetsbaar. Verbinding, contact en interactie stimuleren we het liefst maximaal, het is de sleutel tot voortuitgang. Tegelijkertijd willen we beheersen wie we toelaten, wanneer we hen toelaten en waar we hen toegang tot verschaffen. Ongewenste gasten bedreigen onze veiligheid en leveren risico's op, bijvoorbeeld op het gebied van privacy.

De kwaliteit van identiteit- en toegangsbeheer raakt de overheid op vele manieren. Daarom is dit om te beginnen niet een technisch of operationeel vraagstuk Het is een onderwerp voor strategische keuzes en daarmee van het grootste belang voor het slagen of falen van de ambities een digitale overheid te worden.

Het niet toepassen van wet- en regelgeving is een van de grootste risico's van een falend - of zelfs ontbrekend – identiteits- en toegangsbeheer. Met het toenemen van het gebruik, het aantal diensten en de complexiteit van digitale dienstverlening binnen de overheid worden die risico's alleen maar reëler.

Ook de mogelijkheid de overheid en haar diensten vanaf elke locatie te benaderen, maakt het urgenter de veelheid aan toegangsopties te beheersen. Te vaak echter wordt identiteits- en toegangsbeheer 'vergeten' en moet de schade achteraf worden ingehaald.  Tegen een hogere prijs dan nodig is en met alle gevolgen van dien.

KPMG richt zich op het mitigeren van die risico's, met een eigentijdse aanpak voor onder meer identiteitsbeheer, autorisatiebeheer en toegangsbeheer. Onderstaand vindt u een overzicht van de belangrijkste elementen van identiteits- en toegangsbeheer volgens KPMG.  

Infographic digital model

De technische oplossingen op deze gebieden vormen de helft van het verhaal, zo blijkt in de praktijk. De voornaamste oorzaak van een slecht functionerend identiteits- en toegangsbeheer is de gefragmenteerde benadering van technologie, gescheiden van andere kenmerken van de organisatie. Wie technische oplossingen implementeert zonder begrip van de organisatie die daarmee aan de slag moet, vraagt om moeilijkheden.

KPMG, bij uitstek gespecialiseerd in organisatiekennis, kiest daarom voor een integrale benadering: een technische oplossing functioneert alleen als die aansluit bij alle andere aspecten van de organisatie. Zonder oog voor die organisatie en zonder grondige kennis daarvan wordt technologie geen oplossing, maar een probleem. Met haar brede blik helpt KPMG dat te voorkomen.