Identity matching in het BRP-Koppelpunt

Bij de digitale overheidsdienstverlening binnen Nederland wordt het burgerservicenummer (in combinatie met DigiD) gebruikt om een betrouwbare koppeling te leggen tussen de persoon die in inlogt en de persoon in de database van de dienstverlener. 

Bij de digitale dienstverlening binnen Europa werkt dit op een vergelijkbare manier, maar net iets anders.

Een burger kan met een genotificeerd eIDAS-middel inloggen op de digitale dienstverlening van de Nederlandse overheid. Bij die inlog krijgt de Nederlandse overheidsdienst een set identificerende gegevens meegeleverd om te bepalen wie die burger is. Bij die set identificerende gegevens wordt ook een "Uniqueness ID" meegeleverd door het land dat het eIDAS-middel uitgeeft. Bij het eerste contact moet de dienstverlener op basis van de ontvangen identificerende gegevens vaststellen of de burger al voorkomt in de database of dat het een nieuwe klant is. Dit proces noemen we 'identity matching'. De dienstverlener wordt geacht het Uniqueness ID op te slaan voor gebruik bij volgende contacten.

Het uitvoeren van een foutloze identity matching is niet triviaal. De identiteitsgegevens die door het andere EU-land worden meegestuurd kunnen afwijken van de gegevens die in Nederland geregistreerd zijn. Bijvoorbeeld de verschillende schrijfwijzen van diakritische tekens (Müller/Mueller) of dubbelklanken (Tsjaikovski/Tchaïkovski/Chaikovski). Dit kan leiden tot verschillende soorten fouten; de persoon wordt ten onrechte niet herkend als nieuwe klant geregistreerd terwijl er al een registratie was onder een andere naam, of omgekeerd: de persoon wordt ten onrechte gekoppeld aan een andere persoon met een enigszins vergelijkbare naam.

In Nederland is ervoor gekozen om deze belangrijke en foutgevoelige stap in het dienstverleningsproces centraal uit te voeren, zodat niet alle individuele overheidsorganisaties dit zelf hoeven te doen. Dit voorkomt dubbel werk en fouten. De voorziening die hiervoor ontworpen is, heet het BRP-Koppelpunt. In het BRP-Koppelpunt wordt de Identity Matching uitgevoerd door een combinatie van een vergelijkingsalgoritme, in combinatie met handmatig beoordeling door experts. Het vergelijkingsalgoritme is gebaseerd op het Intelligent zoeken in de Beheervoorziening BSN - Rijksdienst voor Identiteitsgegevens (overheid.nl).

Als er geen intelligent zoekalgoritme ingezet zou worden, dan vindt de matching van personen plaats op basis van een 1-op-1 vergelijking van de ingevoerde zoekgegevens met de persoonsgegevens in de database. De ervaring leert echter dat de persoonsgegevens die door het andere EU-land worden verstrekt niet altijd exact overeenkomen met de data die in Nederland in de basisregistratie aanwezig zijn. Veel organisaties beschikken bijvoorbeeld niet over de volledige voornamen van de persoon, maar hebben alleen de voorletters, of uitsluitend de eerste voornaam voluit. Ook komt het vaak voor dat diakritische tekens zoals ã, â, ä of ligaturen zoals Ӕ niet of niet correct geregistreerd zijn. Verder zijn er veel verschillende schrijfwijzen in omloop van (vooral) buitenlandse namen. Bij een 1-op-1 vergelijking zouden deze zoekvragen ten onrechte leiden tot het antwoord Niet Gevonden; we noemen dit een vals-negatief resultaat. De persoon die zich aanmeldt met zijn eIDAS-middel en in Nederland al inschreven is in de Basisregistratie Personen met een BSN wordt dan niet herkend. Dit zal zeker leiden tot problemen met de aangevraagde dienstverlening. De introductie van een vorm van intelligent zoeken vergroot in dit geval de trefkans, en vermindert daarmee het percentage vals-negatief.

Tegelijkertijd kan een dergelijk zoekalgoritme de kans op vals-positieven vergroten, doordat er personen gevonden kunnen worden die niet aan de bedoelde zoekvraag voldoen. Dit kan leiden tot het koppelen van een ingelogde persoon aan een BSN van een andere persoon. Deze situatie moet zo veel mogelijk voorkomen worden.

Bij de afweging van de voordelen tegenover de nadelen is ervoor gekozen om maatregelen toe te voegen die het optreden van een vals-positief resultaat zo veel mogelijk uitsluiten. Daarmee ontstaat er een balans tussen het voorkómen van vals-negatieven zonder dat tegelijkertijd het percentage vals-positieven te groot wordt.

Het matchingsproces wordt gemonitord en er is een frontoffice beschikbaar waar eIDAS-gebruikers zich kunnen melden met vragen en eventuele problemen. Wanneer het onverhoopt voorkomt dat een persoon gekoppeld wordt aan een registratie van een ander, dan is er een systeemfunctie beschikbaar waarmee de gegevensbeheerder handmatig deze koppeling kan verbreken.

Het onderliggende zoekalgoritme is zodanig opgezet dat het eenvoudig aangepast en verfijnd kan worden. Hoe meer personen met een eIDAS-middel inloggen, hoe beter het zoekalgoritme afgestemd kan worden op alle voorkomende situaties.

De set gegevens die gebruikt worden door het algoritme wordt bepaald door de gegevens die binnen eIDAS uitgewisseld mogen worden voor Identity Matching. Het gaat hierbij om:

• Uniqueness ID
• Burgerservicenummer
• Voornamen
• Adellijketitel/predikaat
• Voorvoegsel geslachtsnaam
• Geslachtsnaam
• Geslachtsnaam bij geboorte
• Geboortedatum
• Geboorteplaats
• Geboorteland
• Geslachtsaanduiding
• Aanduiding gegevens in onderzoek persoon
• Datum ingang onderzoek persoon
• Datum overlijden (wordt niet opgeslagen)
• Huisnummer
• Huisletter
• Huisnummertoevoeging
• Postcode
• Land adres buitenland
• Adres buitenland
• Aanduiding gegevens in onderzoek adres
• Datum ingang onderzoek adres

Het proces van inloggen met een buitenlands eIDAS-middel volgt in hoofdlijnen de onderstaande stappen:

• Het Nederlandse eIDAS-knooppunt ontvangt een inlogverzoek; dit verzoek bevat een UniquenessID en de standaardset attributen van de persoon: Name, Family name, Date of birth);
• Check of het BSN nodig is voor de aangevraagde dienst:
• BSN niet nodig: dan wordt het Uniqueness ID versleuteld en wordt een polymorf pseudo-ID en de ontvangen attributen verstrekt aan de dienstverlener;
• BSN wel nodig: start het proces van Identity Matching via het BRP-Koppelpunt om te bepalen of en zo ja welk BSN bij de ontvangen attributen hoort;
• Bij de eerste inlog van de gebruiker is het UniquenessID nog onbekend in het eIDAS-knooppunt. Daarom wordt het UniquenessID en de attributen doorgestuurd naar het BRP-Koppelpunt. Bij volgende inlogs wordt de gemaakte match tussen het UniquenessID en het (versleutelde) BSN hergebruikt. De Identity Matching hoeft dan niet opnieuw te gebeuren;
• Het BRP-Koppelpunt bevraagt de uitgebreide set identificerende gegevens:
• Als daar geen antwoord op komt, dan kan het Identity Matching proces niet uitgevoerd worden, en wordt de gevraagde dienstverlening geweigerd. Het BSN is in dit geval immers nodig voor de gevraagde dienst;
• Als de gevraagde gegevens wel geleverd worden, dan volgt een vraag aan de gebruiker om vrijwillig haar BSN te verstrekken;
• Als er precies 1 persoon gevonden wordt in de BRP en het BSN komt overeen met het opgegeven BSN, dan wordt de match vastgelegd;
• Als er precies 1 persoon gevonden wordt en de gebruiker heeft geen BSN opgegeven, dan wordt de gebruiker gevraagd om de laatste drie cijfers van het gevonden BSN te bevestigen. Deze vraag wordt gesteld om een vals-positieve match te voorkomen;
• Als de gebruiker het gevonden BSN niet bevestigt, dan volgt geen match;
• Als de gebruiker het BSN bevestigt en de voornamen zijn niet exact gelijk, dan volgt een handmatige check voor extra zekerheid dat het daadwerkelijk dezelfde persoon betreft;
• Ook als er meerdere personen gevonden worden en de gebruiker heeft geen BSN verstrekt, dan volgt een handmatige check.

De zoekmachine gebruikt de volgende regels bij het zoeken naar mogelijke matches:

1. Aan beide kanten (de aangeleverde en de geregistreerde BRP-gegevens) worden de volgende translaties uitgevoerd:
2. Diakritische tekens (à á â ã ä ā ă ė ä å ç ő ą ě) worden verwijderd;
3. Speciale tekens (Æ æ Đ đ Ħ ħ ı ĸ Ŀ ŀ Ł ł Ŋ ŋ ʼn Ø ø Œ œ ß Þ þ Ŧ ŧ IJ ij) worden omgezet volgens de ICAO-regels voor de machine-leesbare strook van het identiteitsdocument;
4. Hoofletters worden omgezet naar kleine letters;
5. Elk ander teken dan a..z of 0..9 wordt vervangen door <spatie>;
6. Alle <spaties> worden verwijderd;
7. Fonetische equivalents worden omgezet naar een code(langste eerst): 
8. TE_1: v w 
9. TE_2: a ae 
10. TE_3: tsch sch tch tsj zj zh sh ch sj jh kh x s
11. TE_4: schtsch sjtsj schch chtch sc
12. TE_5: i j y
13. TE_6: oe ou yu ue o u
14. Meerdere gelijke tekens na elkaar worden vervangen door 1 teken;
15. Overgebleven tekens "h" worden verwijderd.