Fraude detecteren: hoe werk je samen tegen misbruik?

<div><p>De tweede uitdaging is een procesmatige. Fraudeurs zoeken altijd de zwakste schakel. Als elk bedrijf zijn eigen systeem heeft, is het moeilijk om patronen te herkennen die op fraude duiden. Daarom zetten we in op samenwerking.</p><p>Via het <a href="https://pcsi.nl/nl/projecten/eidas-risk-observatory/" class="externLink">eIDAS Risk Observatory</a> ontwikkelen we methodieken waarmee organisaties gezamenlijk kunnen leren van fraudesignalen. Denk aan een 'eIDAS SOC', een security operations center waar partijen samen incidenten analyseren en patronen herkennen.</p><h4 id="h05cf2c3e-a545-47c2-a07f-7795c84a8c96">Passkeys tegen phising</h4><p>Begin dit jaar hebben we met het Nationaal Cyber Security Centrum (NCSC) <a href="https://publications.tno.nl/publication/34644186/d4qVWWK9/TNO-2025-R10863.pdf" class="importLink">onderzoek (pdf)</a> gedaan naar de adoptie van passkeys, een nieuwe authenticatiemethode die phishing vrijwel onmogelijk maakt. De technologie wordt al aangeboden door grote techbedrijven, maar een passkey instellen en beheren is nu nog te complex voor wijdverspreide adoptie.</p></div>

Assuring Digital Identity: van paspoortcontrole naar digitaal vertrouwen

Thema:: Data sharing

Banken, verzekeraars of overheden vallen voor persoonsidentificatie nog massaal terug op fysieke documenten. Selfies versturen, paspoorten scannen, formulieren invullen. Het levert fouten op, kost miljoenen en is kwetsbaar voor fraude. De EU Digital Identity moet daar een einde aan maken. TNO ontwikkelt methodes en technieken om dit betrouwbaar en fraudebestendig te implementeren.

Van documenten scannen en sturen naar gemak en privacy

Iedereen die wel eens een hypotheek heeft aangevraagd weet hoeveel werk het is om de juiste informatie van verschillende instanties te verzamelen. Tientallen documenten om enkel te bewijzen dat je financieel draagkrachtig genoeg bent. Het huidige systeem is log, kwetsbaar voor fouten en niet onbelangrijk, kwetsbaar voor fraude.

Meer dan een identiteit: je persoonlijke kluis

Europa ziet de oplossing in digitale identiteit. Net zoals je een paspoort gebruikt om je te identificeren in de fysieke wereld, krijg je straks een digitale identiteit waarmee je niet alleen bewijst wie je bent, maar ook je diploma's, vergunningen, rijbewijs en andere gegevens worden er veilig in beheerd. Een digitale kluis die iedereen voor zichzelf kan beheren.

In het geval van je financiële draagkracht bewijzen aan een hypotheekverstrekker is, hoef je dus geen stapels papier meer te versturen, maar alleen de digitaal ondertekende bewijzen van bijvoorbeeld de belastingdienst en het UWV over je vermogen en je inkomen. Veel makkelijker voor jou en de hypotheekverstrekker.

Self-sovereign identity

De Digitale Identiteit die in Europa wordt ontwikkeld is voor een groot deel gestoeld op het gedachtegoed van Self Sovereign Identity (SSI). Hierin krijgt iedereen de controle over diens identiteitsbewijsstukken zonder dat je afhankelijk bent van een derde die het gebruik daarvan kan monitoren. In Europa wordt het SSI-gedachtegoed gekaderd door het eIDAS 2.0 stelsel dat interoperabiliteit en de betrouwbaarheid van authentieke bronnen moet borgen.

Economische en maatschappelijke waarde

Digitale identiteit is geen toekomstmuziek meer. In België gebruikt inmiddels ruim 80 procent van de bevolking de authenticatie-app Itsme voor zaken als bankieren en overheidsdiensten. In landen als Bhutan heeft digitale identiteit 78% van de plattelandsbevolking toegang gegeven tot diensten die voorheen onbereikbaar waren.

McKinsey becijferde dat digitale identiteit wereldwijd een economische waarde kan vrijspelen van 3 tot 13 procent van het BBP. Voor 1,7 miljard mensen zonder toegang tot financiële diensten kan dit de sleutel zijn.

Nieuwe kansen, nieuwe risico's

Alle persoonsgegevens bij individuen zelf opslaan brengt ook nieuwe risico's met zich mee. In België werd in 2024 met 'social engineering' bij honderden Belgen fraude gepleegd via Itsme. Slachtoffers werden met een nepverhaal overgehaald om een transactie goed te keuren, terwijl ze eigenlijk een kredietaanvraag accepteerden. Waar banken eerder verdacht gedrag zelf konden signaleren, waren ze nu afhankelijk van het Itsme-systeem.

Het illustreert de uitdaging: cryptografisch zit een digitale identiteit goed in elkaar, maar in de praktijk ontstaan nieuwe kwetsbaarheden. Vooral wanneer verschillende systemen met elkaar moeten samenwerken. Hoe zorg je ervoor dat een digitale identiteit minstens de betrouwbaarheid heeft van een fysiek paspoort?

TNO's drie pijlers voor veiligere digitale identiteit

De positieve effecten van een digitale identiteit staan voor ons buiten kijf. Maar het werkt alleen als de veiligheid geborgd is. Daarom werken we aan drie cruciale vraagstukken.

De eerste uitdaging is technisch: hoe zorg je ervoor dat iemand die digitaal inlogt, ook echt is wie ze zeggen te zijn? Wij onderzoeken onder andere hoe je een cryptografische sleutel kunt maken van iemands biometrie, zonder dat daar een derde partij bij nodig is. Dat betekent dat de verificatie plaatsvindt op het apparaat zelf, zonder dat gevoelige gegevens gedeeld hoeven te worden. Het levert de betrouwbaarheid van een fysieke paspoortcontrole, maar dan digitaal.

De tweede uitdaging is een procesmatige. Fraudeurs zoeken altijd de zwakste schakel. Als elk bedrijf zijn eigen systeem heeft, is het moeilijk om patronen te herkennen die op fraude duiden. Daarom zetten we in op samenwerking.

Via het eIDAS Risk Observatory ontwikkelen we methodieken waarmee organisaties gezamenlijk kunnen leren van fraudesignalen. Denk aan een 'eIDAS SOC', een security operations center waar partijen samen incidenten analyseren en patronen herkennen.

Passkeys tegen phising

Begin dit jaar hebben we met het Nationaal Cyber Security Centrum (NCSC) onderzoek (pdf) gedaan naar de adoptie van passkeys, een nieuwe authenticatiemethode die phishing vrijwel onmogelijk maakt. De technologie wordt al aangeboden door grote techbedrijven, maar een passkey instellen en beheren is nu nog te complex voor wijdverspreide adoptie.

De derde uitdaging is conceptueel. We denken vaak aan identiteit als iets statisch: je naam, geboorteplaats, diploma's. Maar identiteit is veel breder. Het gaat ook om wat je gedaan hebt, welke vaardigheden je hebt ontwikkeld en wat je huidige financiële of medische situatie is.

Ook onderzoeken we hoe je dynamische data veilig kunt uitwisselen via een Personal Data Space. Denk aan medische sensoren die real time data verstrekken. De verwerking van die data zou moeten plaatsvinden in je persoonlijke kluis, niet bij een zorginstantie. Dus de beslismodellen breng je naar de data toe, in plaats van andersom.

Neem de hypotheekaanvraag. Nu moet je stapels documenten aanleveren: loonstroken, bankafschriften, werkgeversverklaringen. Straks kan dat veel eenvoudiger. Je deelt alleen het antwoord op de vraag: "Ben ik kredietwaardig?" Een groen vinkje volstaat. De onderliggende gegevens blijven bij jou.

"We hebben tot nu alleen maar het fysieke gedigitaliseerd. Nu moeten we echt digitaal gaan uitgeven in de hele wereld."

Alexander van den Wall Bake

Business Consultant Assuring Digital Identity

De brug slaan tussen ambitie en veiligheid

Europa's plannen voor digitale identiteit bieden organisaties veel voordelen. Efficiëntere processen, minder administratieve lasten en een beter georganiseerde digitale markt. Daarnaast zorgt een Europees systeem ook voor minder afhankelijkheid van niet-Europese techbedrijven. Maar die voordelen kun je alleen realiseren als de veiligheid op orde is.

Wij helpen organisaties om die balans te vinden. We laten zien waar de risico's zitten, hoe je die kunt beperken en welke stappen je moet zetten om de transitie goed te laten verlopen. Want uiteindelijk gaat het erom dat digitale identiteit net zo betrouwbaar, of zelfs betrouwbaarder wordt als een fysieke paspoortcontrole, maar dan een stuk handiger.

TNO projecten voor Assuring Digital Identity

We combineren technische expertise met praktische kennis van sectoren. Dat betekent dat we zowel onderzoek doen naar nieuwe cryptografische methoden als adviseren over implementatie in bestaande systemen. Enkele voorbeelden van lopende projecten:

eIDAS Risk Observatory: Een platform waar organisaties samen leren om identiteitsfraude te detecteren. We onderzoeken wat er nodig is voor paspoort-level verificatie en hoe je die veilig kunt toepassen.
Pilot: naar een vaardigheden gedreven arbeidsmarkt: In opdracht van werknemersorganisaties werken we aan een pilot voor arbeidsmarkt die vaardigheden gedreven is. Werknemers moeten hun vaardigheden kunnen laten verifiëren zonder dat daar een centrale database voor nodig is. Een eerste selectie hoeft dan niet enkel op basis van diploma's te gebeuren.
Certificeringsraamwerk voor de Nederlandse versie van de European Digital Identity Wallet: We helpen bij de totstandkoming van het certificeringsraamwerk, zodat Nederlandse wallets voldoen aan Europese veiligheidseisen.
Passkeys-adoptie met het NCSC: Samen met het Nationaal Cyber Security Centrum onderzoeken we hoe nieuwe authenticatiemethodes veilig geïntroduceerd kunnen worden.
Visie op identiteit voor de Rijksoverheid: We hebben de CIO-office van de Rijksoverheid ondersteund bij het ontwikkelen van een nieuwe visie op identiteitsmanagement voor medewerkers.

Meer informatie

Ben je benieuwd hoe jouw organisatie veilig de overstap maakt naar EU Digital Identity? Neem contact op met onze experts.

Neem contact met ons op

Sla navigatie over (Neem contact met ons op)

Alexander van den Wall Bake

Functie:
Business Consultant Digital Identity
Hi, ik ben Alexander, ik werk aan dé onmisbare bouwsteen van een betrouwbare digitale wereld: Digital Identity. Laten we een naadloze én privacybeschermende dataoverdracht mogelijk maken .

Meer over Alexander
- Standplaats:
  Den Haag - New Babylon
- E-mail:
  E-mail Alexander