Afbeelding: Digitaal Transformation Agency
De federale overheid heeft een ontwerp voor wetgeving vrijgegeven dat de toepassing van het Australische federale digitale identiteitssysteem wil uitbreiden naar staats- en territoriumoverheden en de particuliere sector.
Aanvang van de werkzaamheden aan de wetgeving, genaamd Trusted Digital Identity Bill 2021, volgt op het Digital Transformation Agency (DTA) dat jaren besteedt aan de ontwikkeling van het Australische Trusted Digital Identity Framework (TDIF), wat uiteindelijk leidde tot myGovID, ontwikkeld door het Australische belastingkantoor. en een gelijkwaardige identiteitsservice van Australia Post die in 2019 live gaat.
Hoewel de federale overheid de TDIF al heeft ingevoerd, is deze alleen van toepassing op federale overheidsinstanties — deze kan niet worden toegepast op staten en territoria of op de particuliere sector. Daarom is de federale overheid begonnen met het werken aan deze wetgeving.
Kijkend naar het ontwerp van het wetsvoorstel [PDF], probeert de federale overheid twee vrijwillige regelingen formeel vast te leggen voor entiteiten die digitale identiteitsdiensten willen leveren of erop willen vertrouwen: een door de federale overheid beheerd digitaal identiteitssysteem en een nieuw accreditatieschema dat gebaseerd zal zijn op het bestaande TDIF-systeem.
“Beide regelingen brengen verschillende voordelen en niveaus van regelgeving met zich mee die van invloed zijn op de keuze van een entiteit om deel te nemen aan het vertrouwde digitale identiteitssysteem, geaccrediteerd te worden of geen van beide”, aldus DTA.
Onder het wetsvoorstel komen de federale overheid, de staats- en territoriumoverheden, Australische bedrijven en buitenlandse bedrijven die zijn geregistreerd bij de Australian Securities and Investments Commission (ASIC) in aanmerking om een aanvraag in te dienen voor toetreding tot de twee digitale identiteitssystemen.
Naast het formaliseren van de twee regelingen, streeft de wetgeving naar de invoering van een nieuwe toezichthoudende autoriteit die verantwoordelijk zal zijn om te beslissen welke entiteit aan boord mag.
De afwegingen die deze nieuwe autoriteit daarbij zou moeten maken zijn of de entiteit zal kunnen voldoen aan de technische normen die voor haar gelden; of de entiteit een deskundig persoon is; vormt die entiteit enige bezorgdheid over de nationale veiligheid; en of het passend is om de entiteit goed te keuren.
In het ontwerp van de blootstelling wordt niet vermeld of deze entiteit binnen de overheid zou worden ondergebracht of een onafhankelijke entiteit zou zijn.
Entiteiten die proberen deel te nemen aan een van de twee schema's, worden beoordeeld door de toezichthoudende autoriteit, maar entiteiten die willen deelnemen aan het TDIF-accreditatieschema worden beoordeeld met een hogere drempel van vereisten. Deze omvatten het hebben van een aangewezen privacyfunctionaris en “privacykampioen”, een systeembeveiligingsplan en de mogelijkheid om risicobeoordelingen voor digitale identiteitsfraude uit te voeren. Het TDIF-accreditatieschema zal entiteiten ook verplichten om verschillende technische tests uit te voeren als onderdeel van de accreditatie, volgens het blootstellingsontwerp.
Nieuwe privacybeschermingen die los staan van die in de Privacy Act, maken ook deel uit van het ontwerp van het wetsvoorstel. Deze nieuwe bescherming zou, indien aangenomen, entiteiten verbieden gegevensprofilering te maken, enkele identificatiecodes te gebruiken, beperkte informatie openbaar te maken als er geen uitdrukkelijke toestemming wordt gegeven, en biometrische informatie bekend te maken aan verschillende organisaties, zoals wetshandhavingsinstanties.
Het blootstellingsconcept stelt ook dat een geaccrediteerde identiteitsdienstverlener, op verzoek van een persoon, de digitale identiteit van de persoon zo snel mogelijk na ontvangst van het verzoek moet deactiveren.
Hoewel de nieuwe wetgeving, indien aangenomen in de huidige staat, zijn eigen reeks privacybeschermingen heeft, zal de Privacywet nog steeds van toepassing zijn op entiteiten binnen de twee regelingen, zo stelt het blootstellingsontwerp. Als een entiteit die deel uitmaakt van de digitale identiteitssystemen bijvoorbeeld een datalek krijgt, zou het verplicht zijn om personen die betrokken zijn bij een datalek dat waarschijnlijk zal leiden tot “ernstige schade” op de hoogte te stellen in het kader van de Meldbare Datalekken (NDB)-regeling .
De handhaving van deze privacyregels valt onder de bevoegdheid van de commissaris voor informatie, waarbij de commissaris bedrijven of overheidsinstanties kan straffen tot AU$333.000 als de privacywaarborgen van het wetsvoorstel worden geschonden.
Bij de aankondiging van het ontwerp van het wetsvoorstel, zei de minister die verantwoordelijk is voor digitale transformatie, Stuart Robert, dat de federale regering zou samenwerken met geïnteresseerde partijen en het wetsvoorstel samen met de industrie zou ontwerpen.
De federale regering vraagt tot 27 oktober om inzendingen over het ontwerp van de blootstelling.
Terwijl de wetgeving door de overheid wordt ontwikkeld, is de particuliere sector begonnen met het ontwikkelen van digitale identiteitsoplossingen om aan de vraag van de klant te voldoen. Eerder deze week werd Eftpos de eerste geaccrediteerde niet-gouvernementele exploitant van een digitale identiteitsuitwisseling onder de TDIF via zijn connectID-technologie. Sinds vorig jaar test Eftpos connectID met 20 “bekende” Australische merken, waaronder Australia Post en Yoti.
Mastercard werkt ook afzonderlijk samen met de DTA om te zien hoe de digitale identiteitsservice van de eerste Australiërs in staat zou kunnen stellen hun leeftijd en identiteit digitaal te verifiëren. Als onderdeel van de samenwerking onderzoekt Mastercard een reeks door de particuliere sector geleide pilots en de impact die de digitale verificatieservice zou kunnen hebben op de online ervaringen en verwachtingen van retailers en consumenten.
Verwante dekking
Mastercard en DTA breiden digitale ID-service uit voor leeftijdsverificatieEftpos stuurt ConnectID digitale identiteitsoplossing live
Australische digitale vaccinatiecertificaten voor reizen klaar in twee tot drie weken
Eftpos heeft overheidsaccreditatie verleend als eerste particuliere exploitant van ID-uitwisseling
Australië om het digitale ID-systeem open te stellen voor de particuliere sector met overleg over nieuwe wetgeving
Onderzoekers willen dat het digitale ID-systeem van Australië wordt weggegooid en helemaal opnieuw ontworpen
Verwante onderwerpen:
Australië CXO Digital Transformation Tech Industry Smart Cities Cloud