Hoewel digitalisering een efficiëntieslag teweeg heeft gebracht in processen van overheid en bedrijfsleven, heeft het ook geleid tot grotere risico’s voor de privacy en (cyber)veiligheid. Mensen en bedrijven zijn in toenemende mate slachtoffer van datalekken, waarna gelekte persoonsgegevens kunnen worden gebruikt voor bijvoorbeeld phishing en andere vormen van identiteitsfraude.
Er is een verandering nodig in de manier waarop we gegevens delen. Een verandering waardoor we zelf weer in controle komen van onze gegevens, een verandering waardoor we in de digitale wereld op de gegevens van een ander kunnen vertrouwen, een verandering die privacy vanuit de fundamenten borgt. Deze verandering is de laatste jaren wereldwijd volop in ontwikkeling onder de noemer Self-Sovereign Identity.
De digitalisering van de afgelopen twee decennia heeft geleid tot een efficiëntere werkwijze voor zowel de overheid als het bedrijfsleven. Dit heeft geresulteerd in kosten- en tijdsbesparingen. Echter, er zijn nog drie fundamentele concepten die niet zijn meegenomen in deze digitalisering, namelijk: vertrouwen, autonomie en privacy. Deze concepten zijn noodzakelijk voor een veilige en naadloze reis door de digitale wereld.
Om vertrouwen op te bouwen in de digitale wereld is het vaak nodig om een uitstap te maken naar de fysieke wereld, zoals het maken van een kopie van een paspoort. Dit proces is niet alleen kostbaar voor bedrijven die een hoog niveau van vertrouwen vereisen, maar het kan ook vervelend zijn voor klanten waarbij deze fysieke stap een soepele onboarding in de weg staat.
Ook is er geen sprake van autonomie over je gegevens in de digitale wereld.In tegenstelling tot een fysiek paspoort, waarbij men het kan tonen zonder dat de uitgever weet aan wie en met welk doel, kan elke transactie in de digitale wereld worden gevolgd doormeerdere partijen en worden persoonlijke gegevens verzameld en opgeslagen in databases buiten de controle van de eigenaar. In het onderzoek “Onze digitale schaduw” uit 2009 kwam al naar voren dat gegevens van de gemiddelde Nederlander in honderden tot duizenden bestanden staat, waarvan al tussen de 250 en 500 bestanden bij de overheid. Gezien de digitaliseringsvlucht van de afgelopen 15 jaar kunnen we vermoeden dat het aantal registraties nu een veelvoud van de cijfers uit 2009 zullen zijn.
Dit heeft geleid tot grote risico’s voor de privacy en (cyber)veiligheid. Gegevensverzamelingen over individuen zijn een verdienmodel geworden en mensen en bedrijven zijn in toenemende mate slachtoffer van datalekken, waarna gelekte persoonsgegevens kunnen worden gebruikt voor bijvoorbeeld phishing en identiteitsfraude. Ook worden bestanden aan elkaar gekoppeld waardoor vaak onterecht verregaande conclusies worden getrokken. Zowel in de toeslagenaffaire als het monitoren van uitkeringsgerechtigden bij het UWV zijn de beginselen van de privacywet geschonden.
Dit moet en kán beter!
Er is een verandering nodig in de manier waarop we gegevens delen, zodat we weer controle krijgen over onze gegevens en kunnen vertrouwen op de gegevens van anderen in de digitale wereld. Deze verandering wordt Self-Sovereign Identity (SSI) genoemd, een digitale identiteit waarbij individuen of organisaties volledige eigendom en controle hebben over hun identiteiten en persoonlijke gegevens.
SSI: digitale identiteit die werkt voor mensen
Met een digitale identiteit opgezet volgens de filosofie en de techniek van Self Sovereign Identity (SSI) hou jij de controle over je gegevens. Met SSI is het mogelijk om net zo anoniem door de digitale wereld te navigeren zoals jij wenst. Bovendien kunnen de partijen met wie je besluit gegevens te delen, volledig vertrouwen op de integriteit van deze gegevens. Met SSI introduceren we de drie concepten in de digitale wereld die vergeten waren:
Vertrouwen
Gegevens over jou, zoals je rijbewijs of je paspoort worden digitaal versleuteld opgeslagen op je telefoon. De echtheidskenmerken die normaal op fysieke documenten worden aangetroffen, worden cryptografisch toegevoegd aan de digitale versies. Aan de hand daarvan kan iemand vaststellen of een digitaal document wel “echt” is. Dit werkt ook andersom: Phishingmails zien er steeds echter uit en ondanks goede voorlichting en alertheid bestaat er nog steeds de kans dat we toch onze gegevens verstrekken aan criminelen die zich voordoen als vertrouwde instanties, zoals onze bank. Dankzij SSI kun je automatisch verifiëren of een verzoek om gegevens afkomstig is van een partij die daadwerkelijk is wie zij beweert te zijn, door middel van een onvervalsbaar cryptografisch certificaat. Dit creëert wederzijds vertrouwen in digitale transacties en elimineert de mogelijkheden voor criminelen om te handelen.
Autonomie
In de fysieke wereld weet de uitgever van je paspoort niet wanneer jij dit document aan iemand laat zien. In de digitale wereld verloopt dit proces nu nog anders, bijvoorbeeld bij het inloggen met een Facebook- of Google-account. In tegenstelling tot een fysiek paspoort weten derde partijen precies met wie en wanneer je gegevens uitwisselt. Zelfs de instantie die je gegevens verstrekt, word vaak op de hoogte gebracht wanneer je gegevens wil delen, bijvoorbeeld bij een kredietwaardigheidstoets, waarbij je soms niet eens weet dat er gegevens over jou worden opgevraagd. De autonomie die we in de fysieke wereld hebben, moet ook digitaal worden ingebed.
Met Self-Sovereign Identity controleer je zelf wat je met wie deelt. Wanneer je je identificeert, weet de uitgever van het identiteitsbewijs niet dat je het gebruikt, net als hoe jouw paspoort of rijbewijs momenteel werkt. De geldigheid van deze documenten kan gecontroleerd worden zonder dat de uitgevende instantie hiervan op de hoogte is. Daarnaast kun je jouw kredietwaardigheid bewijzen zonder dat externe partijen erbij betrokken zijn. Met SSI navigeer je dus net zo autonoom door de digitale wereld als de fysieke en bij een gegevensuitwisseling tussen twee partijen is er dus niemand die kan meekijken.
Privacy
In de fysieke wereld wordt vaak aanzienlijk meer informatie gedeeld dan strikt noodzakelijk. Bijvoorbeeld, wanneer je bij een hotelverblijf je identiteitsbewijs moet afgeven, of wanneer je moet aantonen dat je de leeftijd van 18 jaar hebt bereikt, verkrijgt de controlerende instantie informatie omtrent de fysieke verschijning, de volledige naam, de geboortedatum en, indien niet verwijderd, zelfs het Burger Service Nummer (BSN). Dit kan anders met Self-Sovereign Identity. Daarmee toon je alleen de gegevens die nodig zijn voor de transactie, zonder de onderliggende gegevens prijs te geven. Bijvoorbeeld dat je ouder bent dan 18, zonder dat je je geboortedatum toont.
Daarnaast deel je nu veel gegevens die bedrijven nodig hebben om hun risico’s af te dekken. Denk bijvoorbeeld aan de inkomensverklaringen van de afgelopen paar jaar voor een hypotheekaanvraag. Met Self-Sovereign Identity kan jij aantonen dat jouw inkomen boven de grens ligt die een hypotheekverstrekker vereist, zonder dat je jouw jaaropgaves van de afgelopen paar jaar hoeft te overleggen.
Bedrijven zijn verplicht volgens de AVG om zo min mogelijk data te verzamelen. Dankzij de cryptografie achter Self-Sovereign Identity kan bewijs worden vastgelegd welke data bedrijven van je vragen. Daarmee kunnen toezichthouders controleren of bedrijven zich houden aan de verplichting van dataminimalisatie, wat in wezen neerkomt op een soort gegevensverzamelingsmonitoring voor bedrijven. Voor individuen brengt dit automatische bescherming tegen overmatige gegevensverzoeken met zich mee, evenals een aanzienlijke tijdsbesparing. Het is namelijk niet langer noodzakelijk om een omvangrijke hoeveelheid documenten te overhandigen, waarin vaak gegevens zijn opgenomen die niet relevant zijn voor de betreffende transactie. In plaats daarvan kunnen individuen uitsluitend de gegevens verstrekken die noodzakelijk zijn voor de uitvoering van de transactie, in een enkele handeling.
Helaas blijkt het introduceren van Self Sovereign Identity een ingewikkelde klus op verschillende vlakken. Allereerst heeft de techniek zich ontwikkeld in verschillende richtingen die niet interoperabel met elkaar zijn waardoor het lastig is om te kiezen op welke manier je ermee aan de slag wil. Bovendien omvat een succesvolle implementatie meer dan enkel technische aspecten. We moeten bijvoorbeeld ook begrijpen wat de betekenis van digitale gegevens zijn: semantische interoperabiliteit is complex wanneer partijen in een ecosysteem elkaar niet kennen en geen bilaterale afspraken kunnen maken over deze gegevens. Ook het uitgeven van deze gegevens is niet vanzelfsprekend. Hoewel veel partijen graag gegevens willen ontvangen met een hoog niveau van vertrouwen, betekent dit niet automatisch dat het verstrekken van deze gegevens intrinsieke waarde heeft voor een organisatie. Ten slotte zijn oude werkmethoden vaak diep verankerd in bestaande processen en wettelijke voorschriften. Bijvoorbeeld, toezichthouders geven de voorkeur aan het zien van fysieke kopieën wanneer zij willekeurig controleren of partijen zich houden aan de vastgestelde richtlijnen.
Nogmaals: dit moet beter en kán beter!
De introductie van SSI is dus niet alleen een technische uitdaging maar een systeemwijziging waarbij verschillende partijen vanuit verschillend invalshoeken gezamenlijk moeten bewegen. Daarom is Digitale Identiteit een belangrijke bouwsteen binnen de DBC en zijn we met Digicampus in 2017 gestart met de SSI Community. Hiermee faciliteert de DBC de vraag vanuit het veld om kennis rondom SSI te kunnen delen en ervaringen uit te kunnen wisselen. De SSI Community brengt technologie-, implementatiepartners en potentiële opdrachtgevers bij elkaar om gezamenlijk hier de schouders onder te zetten en een interoperabel ecosysteem te creëren. Hiervoor hebben we met onze partners bijvoorbeeld een technisch interop profiel voor SSI gedefinieerd, genaamd DIIP (Decentralised Identity Identity Interop Profile). Het doel van dit interop profiel is aan te sluiten bij het kennisniveau binnen de organisatie en bestaande standaarden, zodat organisaties kostenefficiënt en eenvoudig SSI kunnen implementeren en in gebruik kunnen nemen. Wanneer verschillende partijen ditzelfde profiel hanteren, zullen er geen technische barrières meer zijn om gegevens uit te wisselen.
Onderdeel worden van de SSI Community?
Samen met Digicampus organiseert de DBC regelmatig bijeenkomsten waar je wordt bijgepraat over de laatste stand van zaken over SSI, je eigen inbreng kunt geven en waar gewerkt wordt aan het interop profile om de adoptie van SSI te bevorderen. Op de hoogte blijven van aankomende SSI Community meet-ups? Aanmelden kan bij Marc Winsemius (Digicampus) via marc.winsemius@logius.nl.