Ga naar inhoud

Self-Sovereign Identity: de digitale identiteit die werkt voor mensen

De digitalisering van het afgelopen decennium heeft ons veel gebracht. We zijn slechts een muisklik verwijderd van de rest van de wereld. Maar de digitaliseringsgolf brengt ook een aantal uitdagingen met zich mee. Internetfraude en het verlies van privacy zijn hier twee sprekende voorbeelden van. Hoe kunnen we in het digitale tijdperk vertrouwen op informatie? En hoe krijgen we als mens weer grip op wat er met onze data gebeurt? Hiervoor hebben we een digitaal middel nodig dat vertrouwen toevoegt aan data en dat het mogelijk maakt om controle uit te oefenen wie welke gegevens mag inzien. Dit middel noemen we een digitale identiteit.

Self-sovereign Identity (SSI) is een digitale identiteit die autonoom is: alleen jij hebt hier de controle over en niemand kan achterhalen wanneer en waarvoor je het gebruikt. Deze digitale identiteit moet net zo makkelijk te gebruiken zijn als een fysiek document, zoals een paspoort, met hetzelfde vertrouwen dat de informatie die getoond wordt echt is. En wellicht nog belangrijker: de digitale identiteit dient betere privacy voor het individu te garanderen.

Autonomie

In de fysieke wereld weet de uitgever van je paspoort niet wanneer jij je identificeert met je paspoort. In de digitale wereld gaat dat nu nog anders. Denk bijvoorbeeld aan het inloggen met een Facebook- of Google-account. Anders dan met een fysiek paspoort weten derde partijen precies met wie en wanneer je gegevens uitwisselt of ophaalt. Ook de uitgever van gegevens krijgt vaak een seintje als je gegevens wil delen. Bijvoorbeeld bij een kredietwaardigheidstoets, waarbij je soms niet eens weet dat er gegevens over jou worden opgevraagd. De autonomie die we in de fysieke wereld hebben, moet ook digitaal worden ingebed.

Met Self-Sovereign Identity kan de controle worden teruggelegd bij het subject van deze gegevens. Dat kan een individu zijn, maar ook een organisatie. Het subject heeft dan inzicht en controle over wie welke gegevens heeft, inziet of deelt. Wanneer je je identificeert, weet de uitgever van het identiteitsbewijs niet dat je dit gebruikt, net als nu het geval is met je paspoort of rijbewijs. Of deze nog geldig zijn, kan gecontroleerd worden zonder dat de uitgevende instantie hiervan op de hoogte is. En of jij kredietwaardig bent, is iets dat jij kan bewijzen, zonder dat daar een externe partij bij betrokken is. Met SSI navigeer je dus net zo autonoom door de digitale wereld als de fysieke en bij een gegevensuitwisseling tussen twee partijen is er dus niemand die kan meekijken.

Vertrouwen

Nieuwsberichten over phishing en identiteitsfraude via internet komen regelmatig voorbij in het nieuws. Phishingmails zien er steeds echter uit en ondanks goede voorlichting en alertheid bestaat er nog steeds de kans dat we toch onze gegevens verstrekken aan criminelen die zich voordoen als een vertrouwde partij, zoals onze bank. Met Self-Sovereign Identity kan die controle automatisch worden ingebakken: wanneer een bank gegevens van jou opvraagt, kan jij in dezelfde handeling controleren of het daadwerkelijk de bank is die deze gegevens vraagt, middels een niet te vervalsen certificaat. Daarmee kan je als mens erop vertrouwen dat je echt te maken hebben met een vertrouwde partij en krijgen criminelen geen kans meer.

Privacy

In de fysieke wereld deel je nu al vaak veel te veel informatie. Wanneer je bij een hotel je identiteitsbewijs moet achterlaten, of wanneer je moet bewijzen dat je ouder bent dan 18: de controlerende instantie weet hoe je eruitziet, je volledige naam, je geboortedatum en, als je dit niet zelf hebt weggepoetst, zelfs je BSN-nummer. Dit kan anders met Self-Sovereign Identity. Daarmee toon je alleen de gegevens die nodig zijn voor de transactie, zonder de onderliggende gegevens prijs te geven. Bijvoorbeeld dat je ouder bent dan 18, zonder dat je je geboortedatum toont.

Daarnaast deel je nu veel gegevens die bedrijven nodig hebben om hun risico’s af te dekken. Denk bijvoorbeeld aan de inkomensverklaringen van de afgelopen paar jaar voor een hypotheekaanvraag. Met Self-Sovereign Identity kan jij aantonen dat jouw inkomen boven de grens ligt die een hypotheekverstrekker vereist, zonder dat je jouw jaaropgaves van de afgelopen paar jaar hoeft te overleggen.

Bedrijven zijn echter verplicht volgens de AVG om zo min mogelijk data te verzamelen. Dankzij de cryptografie achter Self-Sovereign Identity kan bewijs worden vastgelegd welke data bedrijven van je vragen. Daarmee kunnen toezichthouders controleren of bedrijven zich houden aan de verplichting van dataminimalisatie. Een soort trajectcontrole dus op bedrijven die gegevens van je opvragen. Voor de mens betekent dit automatische bescherming tegen overvraging, maar ook tijdsbesparing. Je hoeft immers niet meer een schoenendoos aan documenten te overhandigen waar tevens en hoop gegevens bij zitten die niet relevant zijn voor de transactie. Je overhandigt enkel de gegevens die nodig zijn voor de transactie in één handeling.