Hoewel digitalisering een efficiëntieslag teweeg heeft gebracht in processen van overheid en bedrijfsleven, heeft het ook geleid tot grotere risico’s voor de privacy en (cyber)veiligheid. Mensen en bedrijven zijn in toenemende mate slachtoffer van datalekken, waarna gelekte persoonsgegevens kunnen worden gebruikt voor bijvoorbeeld phishing en andere vormen van identiteitsfraude.
Er is een verandering nodig in de manier waarop we gegevens delen. Een verandering waardoor we zelf weer in controle komen van onze gegevens, een verandering waardoor we in de digitale wereld op de gegevens van een ander kunnen vertrouwen, een verandering die privacy vanuit de fundamenten borgt. Deze verandering is de laatste jaren wereldwijd volop in ontwikkeling onder de noemer Self-Sovereign Identity.
Helaas ontbreekt in de meeste gevallen een gezamenlijke aanpak. Het gevolg is een wildgroei van losse identiteitssystemen en ketens, waarbij autonomie, vertrouwen en privacy telkens opnieuw moeten worden afgewogen en geborgd. Dat vergroot de kans op fouten en maakt het lastig voor gebruikers en toezichthouders om die systemen en ketens te doorgronden en te controleren en dus te weten of privacy en andere waarden voldoende beschermd zijn. De fragmentatie van identiteitssystemen en ketens zorgt tevens voor een gebrek aan interoperabiliteit: culturele, organisatorische, politieke, juridische en economische grenzen belemmeren het delen van data en de identificatie van mensen en organisaties. Dat is niet in de laatste plaats vervelend voor de mens die door al die verschillende situaties moet navigeren.
Dit moet beter en kán beter!
Daarom is Identiteit een van de belangrijke bouwstenen binnen de DBC om een decentrale digitale infrastructuur voor Nederland te realiseren en is de DBC in 2017 gestart met de SSI Community in samenwerking met Digicampus. Hiermee faciliteert de DBC de vraag vanuit het veld om kennis rondom SSI te kunnen delen en ervaringen uit te kunnen wisselen. De SSI Community brengt technologie-, implementatiepartners en potentiële opdrachtgevers bij elkaar om gezamenlijk een interop profiel voor SSI te definiëren. Het doel van dit interop profiel is aan te sluiten bij het kennisniveau binnen de organisatie en bestaande standaarden, zodat organisaties kostenefficiënt en eenvoudig SSI kunnen implementeren en in gebruik kunnen nemen.
SSI: digitale identiteit die werkt voor mensen
De digitalisering van het afgelopen decennium heeft ons veel gebracht. We zijn slechts een muisklik verwijderd van de rest van de wereld. Maar de digitaliseringsgolf brengt ook een aantal uitdagingen met zich mee. Internetfraude en het verlies van privacy zijn hier twee sprekende voorbeelden van. Hoe kunnen we in het digitale tijdperk vertrouwen op informatie? En hoe krijgen we als mens weer grip op wat er met onze data gebeurt? Hiervoor hebben we een digitaal middel nodig dat vertrouwen toevoegt aan data en dat het mogelijk maakt om controle uit te oefenen wie welke gegevens mag inzien. Dit middel noemen we een digitale identiteit.
Self-sovereign Identity (SSI) is een digitale identiteit die autonoom is: alleen jij hebt hier de controle over en niemand kan achterhalen wanneer en waarvoor je het gebruikt. Deze digitale identiteit moet net zo makkelijk te gebruiken zijn als een fysiek document, zoals een paspoort, met hetzelfde vertrouwen dat de informatie die getoond wordt echt is. En wellicht nog belangrijker: de digitale identiteit dient betere privacy voor het individu te garanderen.
Autonomie
In de fysieke wereld weet de uitgever van je paspoort niet wanneer jij je identificeert met je paspoort. In de digitale wereld gaat dat nu nog anders. Denk bijvoorbeeld aan het inloggen met een Facebook- of Google-account. Anders dan met een fysiek paspoort weten derde partijen precies met wie en wanneer je gegevens uitwisselt of ophaalt. Ook de uitgever van gegevens krijgt vaak een seintje als je gegevens wil delen. Bijvoorbeeld bij een kredietwaardigheidstoets, waarbij je soms niet eens weet dat er gegevens over jou worden opgevraagd. De autonomie die we in de fysieke wereld hebben, moet ook digitaal worden ingebed.
Met Self-Sovereign Identity kan de controle worden teruggelegd bij het subject van deze gegevens. Dat kan een individu zijn, maar ook een organisatie. Het subject heeft dan inzicht en controle over wie welke gegevens heeft, inziet of deelt. Wanneer je je identificeert, weet de uitgever van het identiteitsbewijs niet dat je dit gebruikt, net als nu het geval is met je paspoort of rijbewijs. Of deze nog geldig zijn, kan gecontroleerd worden zonder dat de uitgevende instantie hiervan op de hoogte is. En of jij kredietwaardig bent, is iets dat jij kan bewijzen, zonder dat daar een externe partij bij betrokken is. Met SSI navigeer je dus net zo autonoom door de digitale wereld als de fysieke en bij een gegevensuitwisseling tussen twee partijen is er dus niemand die kan meekijken.
Vertrouwen
Nieuwsberichten over phishing en identiteitsfraude via internet komen regelmatig voorbij in het nieuws. Phishingmails zien er steeds echter uit en ondanks goede voorlichting en alertheid bestaat er nog steeds de kans dat we toch onze gegevens verstrekken aan criminelen die zich voordoen als een vertrouwde partij, zoals onze bank. Met Self-Sovereign Identity kan die controle automatisch worden ingebakken: wanneer een bank gegevens van jou opvraagt, kan jij in dezelfde handeling controleren of het daadwerkelijk de bank is die deze gegevens vraagt, middels een niet te vervalsen certificaat. Daarmee kan je als mens erop vertrouwen dat je echt te maken hebben met een vertrouwde partij en krijgen criminelen geen kans meer.
Privacy
In de fysieke wereld deel je nu al vaak veel te veel informatie. Wanneer je bij een hotel je identiteitsbewijs moet achterlaten, of wanneer je moet bewijzen dat je ouder bent dan 18: de controlerende instantie weet hoe je eruitziet, je volledige naam, je geboortedatum en, als je dit niet zelf hebt weggepoetst, zelfs je BSN-nummer. Dit kan anders met Self-Sovereign Identity. Daarmee toon je alleen de gegevens die nodig zijn voor de transactie, zonder de onderliggende gegevens prijs te geven. Bijvoorbeeld dat je ouder bent dan 18, zonder dat je je geboortedatum toont.
Daarnaast deel je nu veel gegevens die bedrijven nodig hebben om hun risico’s af te dekken. Denk bijvoorbeeld aan de inkomensverklaringen van de afgelopen paar jaar voor een hypotheekaanvraag. Met Self-Sovereign Identity kan jij aantonen dat jouw inkomen boven de grens ligt die een hypotheekverstrekker vereist, zonder dat je jouw jaaropgaves van de afgelopen paar jaar hoeft te overleggen.
Bedrijven zijn echter verplicht volgens de AVG om zo min mogelijk data te verzamelen. Dankzij de cryptografie achter Self-Sovereign Identity kan bewijs worden vastgelegd welke data bedrijven van je vragen. Daarmee kunnen toezichthouders controleren of bedrijven zich houden aan de verplichting van dataminimalisatie. Een soort trajectcontrole dus op bedrijven die gegevens van je opvragen. Voor de mens betekent dit automatische bescherming tegen overvraging, maar ook tijdsbesparing. Je hoeft immers niet meer een schoenendoos aan documenten te overhandigen waar tevens en hoop gegevens bij zitten die niet relevant zijn voor de transactie. Je overhandigt enkel de gegevens die nodig zijn voor de transactie in één handeling.
Dutch Decentralized Identity Profile (DDIP)
Steeds meer organisaties ontdekken de mogelijkheden van SSI en werken ideeën en pilots uit. De grote fragmentatie van identiteitssystemen en ketens heeft echter tot gevolg dat er meerdere decentrale oplossingen ontstaan die niet met elkaar kunnen communiceren. Bovendien belemmeren culturele, organisatorische, politieke, juridische en economische grenzen het delen van data en de identificatie van mensen en organisaties.
Interoperabiliteit is een must
Interoperabiliteit is noodzakelijk en dient geborgd te worden aan het begin van de verschillende ontwikkelingen. Dat kunnen we doen door hetzelfde profiel van standaarden te hanteren: een Interoperabiliteit Profiel (hierna: Interop Profiel). Daarom bouwt de DBC met partners aan het Dutch Decentralized Identity Profile (DDIP). Lees hier meer over DDIP.
Wat is een Interop Profiel?
Een Interop Profiel is een set aan technische protocollen en standaarden waar verschillende partijen zich aan hebben gecommitteerd. Hierdoor zijn de gegevens die uitgegeven worden voor een bepaald gebruiksscenario ook bruikbaar bij andere gebruiksscenario's die voldoen aan het Interop Profiel.
Waarom DDIP?
Samenwerking is belangrijk bij een Interop Profiel. De adoptie hangt echter tevens af van de kennis, kunde en architectuur van organisaties. Er bestaan al Interopprofielen, maar een verkenning in het veld leert dat deze onvoldoende aansluiten bij de huidige kennis en mogelijkheden van organisaties.
Voor de tot standkoming van het Dutch Decentralized Identity Profile (hierna: DDIP) is daarom uitgegaan naar het meest laagdrempelige profiel om te starten met SSI. Zo kunnen organisaties sneller leren wat SSI voor hen kan betekenen en kan adoptie worden geaccelereerd. Deze componenten zijn zo gekozen dat het makkelijk is om door te ontwikkelen. In de toekomst voorzien we migratie naar geavanceerdere standaarden. De migratie hier naartoe is voorzien en wordt beschreven in een volgende versie van DDIP.
Onderdeel worden van de SSI Community?
Samen met Digicampus organiseert de DBC regelmatig bijeenkomsten waar je wordt bijgepraat over de laatste stand van zaken over SSI, je eigen inbreng kunt geven en waar gewerkt wordt aan het interop profile om de adoptie van SSI te bevorderen. Op de hoogte blijven van aankomende SSI Community meet-ups? Aanmelden kan bij Marc Winsemius (Digicampus) via marc.winsemius@logius.nl.