Terwijl de Nederlandse overheid zich nog het hoofd breekt over de opvolger van DigiD, dringt zich een nieuwe werkelijkheid op waarin niet alleen mensen, maar ook organisaties, apparaten, transacties en datasets van een betrouwbare identiteit moeten worden voorzien. Welkom in het Internet of Things!
“Ik zie dit als een noodzakelijke voorwaarde voor het behoud van de rechtsstaat in de 21ste eeuw én voor het behoud van onze concurrentiepositie.” Aan het woord is enterprise architect Vincent Hoek, werkzaam bij I-Interim Rijk, een pool van ervaren professionals op het gebied van informatiemanagement en ICT. Momenteel werkt hij aan een project voor de Nederlandse kustwacht. Met ‘dit’ refereert Hoek aan de wereld van federatief identiteitsmanagement, van de blockchain, van UETP, van DENARS en van ROLO.
Bent u het spoor al bijster? Nooit van UETP, DENARS en ROLO gehoord? Dan bent u niet de enige. Versie 1.0 van het protocol UETP moet namelijk nog uitkomen, de term DENARS voor een entiteitenregister is net gemunt, de blockchain is de onderliggende technologie van de Bitcoin en de nakende internationale standaard ROLO voor organisatieregisters is tot op heden vooral een Brits ding. Maar toch maken deze innovaties kans de bouwstenen te worden van een nieuwe deklaag over het huidige internet. Een laag die transacties veiliger, betrouwbaarder, efficiënter en robuuster moet maken.
Anticiperen
De overheid moet als de drommel anticiperen op deze nieuwe benadering van identiteit en identificatie, waarschuwt Hoek: “De grens tussen de fysieke, de logische en de relationele wereld vervaagt. Vroeger waren zaken fysiek en kon je er iets óver zeggen. Nu beginnen fysieke zaken zélf dingen te zeggen en omdat zij dat digitaal doen zijn ineens allerlei relationele verbanden te leggen. De vraag is hoe je mensen, machines en datasets nog kunt vertrouwen als zij allerlei vormen kunnen aannemen. Een organisatie kan bestaan uit één pukkelige jongen van vijftien.
Hoek wil maar zeggen: het Internet der Dingen is geen toekomstmuziek. Nu al communiceren volgens Hoek meer machines real-time met elkaar over het internet dan mensen. “Niet alleen mensen, maar ook dingen, organisaties, datasets, regels moeten daarom een identiteit krijgen. Een IP-nummer volstaat niet meer. Voor het Internet of Things heb je ook een Identity of Things nodig.”
Een IP-nummer volstaat niet meer
Om de urgentie daarvan te staven verwijst hij naar een rapport van Europol dat meldt dat fraude en diefstal van intellectueel eigendom de Europese Unie jaarlijks al meer dan 500 miljard euro kost. Dat probleem kun je volgens Hoek alleen bestrijden met allesomvattend identiteitsmanagement. “Je heft dit soort fraude op als je technologieën als UETP en ROLO serieus invoert. Dan heb je de digital single market voor elkaar.”
Hoek probeert deze boodschap al enige tijd breder binnen de overheid te laten landen. Recent organiseerde hij een ROLO-dag, waar ook de geestelijke vader van dit register, de Engelsman Patrick Curry, optrad. Curry is de man achter de British Business Federation Authority, een organisatie die toeziet op de ontwikkeling van systemen voor federatief identiteitsmanagement tussen Engelse overheden en de (defensie-)industrie.
Maar UETP, ROLO, DENARS? Het wordt nu wel hoog tijd om wat uit te leggen.
‘Het economische internet’
Een deel van deze nieuwe digitale infrastructuur wordt verrassend genoeg in Nederland ontwikkeld. Hoewel, verrassend? Nederland speelt met PIN-betalen, iDEAL en fintech-bedrijven als Adyen en Bunq sinds jaar en dag een pioniersrol in de financiële sector. In augustus 2014 werd de stichting FOCAFET opgericht, onder leiding van Floris Kleemans, voormalig hoofd Strategie van ABN–AMRO. De stichting stelt zich ten doel een gratis, open protocol te ontwikkelen om entiteiten (personen, organisaties, producten, diensten, ‘dingen’, apparaten, informatie en transacties) rechtstreeks met elkaar te verbinden en te laten interacteren: het Uniform Entity and Transaction Protocol (UETP).
Kleemans: “Grote organisaties en zeker banken worstelen met het onderhouden van steeds meer interfaces en API’s om alles en iedereen met elkaar te verbinden. De verbindingskosten nemen exponentieel toe. Het ontbreekt aan een middentaal om alles efficiënt te verbinden. Daar zijn we over gaan nadenken. Het was ons al snel duidelijk dat er een neutrale partij nodig zou zijn om dit te ontwikkelen. Dat is de Stichting FOCAFET geworden.”
Waar staat dat voor?
• ROLO – Register of Legal Organisations, internationale standaard in ontwikkeling om organisaties te identificeren bij digitale transacties.
• DENARS – Distributed Entity Naming and Attribute Registration Service
• UETP – Uniform Entity and Transaction Protocol
• Blockchain – Een gedistribueerde database die een gestaag groeiende lijst bijhoudt van data-items (transacties en blokken) die gehard zijn tegen manipulatie en vervalsing. Het register is versleuteld en bevindt zich op een gedistribueerd computernetwerk waar het constant wordt bijgewerkt.
• BBFA – British Business Federation Au thority, directeur Patrick Curry, organisatie met als taak federatief identiteitsmanagement tussen industrie en UKoverheden. Curry is co-editor van ISO 29003 – Identity Proofing & Verification
• FOCAFET – For Open Convenient And Fair Economic Transactions. Stichting die UETP ontwikkelt (focafet.org)
De internationale steun voor UETP – zowel van multinationals als Oracle, HP als allerlei standaardiseringsinitiatieven – is volgens Kleemans snel groeiende, waarbij Nederland vooralsnog het epicentrum van de ontwikkelingen vormt. Het UETP-protocol en de DENARS-infrastructuur vormen de basis van wat Kleemans ‘Het economische internet’ noemt. In deze nieuwe toplaag gaat het om veilige en betrouwbare koppelingen tussen ‘entiteiten’. Economische, materiële en sociale entiteiten kunnen als atomen met elkaar in een ‘groeps-chat’ verbonden worden, inclusief de details over de transactie. UETP is de taal van de groeps-chat.
Zeven DENARS-hubs
De entiteiten worden geregistreerd in een gedistribueerd register, de DENARS. De technologie laat zich volgens Kleemans typeren als een soort DNS-domeinregistratie in combinatie met de blockchain (de onderliggende technologie van bitcoin). Wij hebben net als DNS een publiek register maar dan gedistribueerd, bij de start verdeeld over zeven nodes, verdeeld over alle continenten.”
Een federatie van not-for-profit-stichtingen gaat de zeven knooppunten (DENARS-hubs) beheren. Deze kunnen ‘entiteiten’ registreren zoals dat met domeinnamen gaat. De Europese hub wordt waarschijnlijk in Nederland ondergebracht (nog afhankelijk van de financiering). “Niet alleen vanwege de snelheid van ontwikkelingen hier, maar vooral vanwege het geopolitieke neutrale karakter van ons land. Veel politieke (groot)machten willen achterdeurtjes in het systeem, waardoor zij informatie kunnen opeisen die anderen niet mogen krijgen. Het huidige internet heeft flink te kampen met deze praktijken, iets wat er bijvoorbeeld toe heeft geleid dat het Europese Hof van Justitie vorig jaar heeft verboden om gegevens van Europese burgers in US clouds op te slaan.”
Geen moedersleutel
Pikant in het licht van de huidige Apple/FBI-controverse is dat de encryptietechnologie zo in elkaar zit dat geen overheid bij een afzonderlijke DENARS-hub de hoofdsleutel kan opeisen. Die heeft die namelijk niet. Kleemans: “De toegang hebben we democratisch geregeld. Alleen als de meerderheid – dus vier van de zeven nodes – instemt met een opsporingsverzoek, kan de gevraagde informatie worden vrijgegeven. Dit vraagt nog wel juridische toetsing en nieuwe internationale wetgeving, waarbij Den Haag als internationaal juridisch centrum heeft aangegeven graag een gidsrol te willen vervullen.”
Een digitale infrastructuur met DENARS en UETP zou voor veel meer veiligheid en privacy zorgen, tegen veel lagere kosten. En dat beperkt zich niet tot economische transacties. Kleemans: “We hebben sowieso een protocol nodig om eID en andere identificatiesystemen met elkaar te laten praten.”
Er lopen momenteel een aantal pilots met de nieuwe technologie. In Nederland werken de Belastingdienst, het UWV en de gemeenten aan een proof of concept om vanuit een gecontroleerde gemeenschappelijke informatiepositie samen te werken rond inkomstenbelastingen en uitkeringen en ook in de handel, logistiek, de financiële- en de zorgsector zijn er initiatieven.
ROLO
FOCAFET richt zich primair op financieel-economische transacties. De ontwikkeling van het UETP-protocol wordt gefinancierd door subsidies en donaties. En veel liefdewerk oudpapier, vult Kleemans aan. “Daar zit wel een uitdaging. Wat meer support uit de publieke sector zou welkom zijn.” Op termijn gloort er wel een verdienmodel als de Europese DENARS-hub wordt opgezet. Vergelijkbaar met wat SIDN doet met de uitgifte van de .nl-domeinnamen, gaat de DENARS-hub namelijk een vergoeding vragen voor de uitgifte van entiteiten. Kleemans benadrukt dat de stichting zal opereren als public utility, met als doelstelling de kosten zo laag mogelijk te houden.
Wij móeten dit Snappen
Vincent Hoek gelooft dat UETP snel wereldwijd zal worden omarmd. Ook al omdat het entiteitenconcept in de pas loopt met tal van andere ontwikkelingen. Een daarvan is de ontwikkeling van ROLO – Register of Legal Organisations – een standaard om organisaties te identificeren. Dit register kan volgens Hoek als een subset worden ondergebracht in de DENARS-metadirectory. “Er zullen honderden registers komen.”
In ROLO leggen organisaties vast wat elke medewerker kan en mag in interactie met andere organisaties. Hoek: “Dit zijn technologieën om de veiligheid en de betrouwbaarheid van organisaties en productieketens te waarborgen. Bij Airbus en de ontwikkeling van de JSF werken ze al zo. Zo kun je bijvoorbeeld achteraf precies uitzoeken wie dat schroefje van welke leverancier wanneer ergens in heeft geschroefd.”
DigiD voorbij
UETP en de DENARS-infrastructuur kan volgens Hoek ook een belangrijke rol spelen om Idensys (eID), de opvolger van DigiD, te koppelen aan andere (Europese) identificatiesystemen. “Dat zijn we in Europa vanaf 2017 zelfs verplicht. De overheid moet anders gaan denken. Je kunt niet meer alleen vanuit je eigen organisatie redeneren. Je moet aansluiten bij ontwikkelingen voor federatief identiteitsmanagement, zoals OpenID en nu UETP.”
Waarom denkt Hoek dat UETP het gaat maken? Hoek: “Ik zie vier ontwikkelingen die beginnen te fuseren. Onder invloed van de digitalisering en federatieve productie- en samenwerkketens zie ik de disciplines van business continuïteit, crisismanagement, cybersecurity en antifraude samenkomen. Dankzij UETP en ROLO kun je een verfijning aanbrengen in veiligheid en privacy die ongekend is. Het land dat dat snapt kan een enorm concurrentievoordeel opbouwen de komende twee jaar, doordat je bepaalde niveaus van veiligheid en betrouwbaarheid kunt garanderen en transactiekosten verminderen. We hebben het snelste internet ter wereld, de meeste hoofdkantoren, Schiphol, de Havens. Wij móeten dit snappen.”
Zijn collega Pascal Kolkman, programmamanager inrichting I-Interim Rijk en voormalig CIO bij diverse ministeries is wat gereserveerder: “Een re-design van public services op basis van blockchain kan echt een revolutie betekenen. Wel denk ik dat de cultuur in Nederland nog wat ver afstaat van dit soort ontwikkelingen. Maar het kan hard gaan als andere staten gas gaan geven op dit dossier.”
Een mooi en gloedvol betoog welke ik vanuit mijn rol als stelselarchitect binnen de Rijksdienst voor Identiteitsgegevens volledig onderschrijf. Cruciale vraag daarbij is niet zozeer hoe we hiermee om moeten gaan maar wie we in dit stadium dienen te beïnvloeden om 1 stap voorwaarts te komen.
Als één ding duidelijk is na 30 jaar overheidsinformatievoorzieningsbeleid is het dat cruciale ontwikkelingen als deze pertinent niet aan bestuurders en beleidsvormers moeten worden overgelaten.
Bestuurders en beleidsvormers zullen de voortgang al snel afhankelijk maken van verkenningen, congressen, bewustwording en consensus. En als er daarna nog budget over is gebeurt er misschien zelf wel iets.
Het meest navrante voorbeeld hiervan is de informationele beveiliging welke 30 jaar na dato nog steeds lijdt onder ontwikkeling van sense of urgency bij de verkeerde mensen op de verkeerde plaats.
Aan wie dan wél?
Aan architecten.
Volgens goed gebruik mogen bestuurders en beleidsvormers het ‘Wat’ aangeven, de architecten geven vervolgens het ‘Hoe’.
Maar voor cruciale onderwerpen dienen architecten het voortouw te nemen en de State of the Art architectuur neer te zetten.
Het is dan immers geen vraag maar een gegeven.
Wie in dit stadium beïnvloed dienen te worden om 1 stap voorwaarts te komen zijn de architecten zélf.
Er is geen plausibele reden waarom er voor de combi DENARS en UETP medio 2017 al niet een Versie 1.0 + uitgewerkte pilot-voorstellen zou kunnen liggen.
Voor budget-toekenning dient er een grondslag en een Business Case te zijn.
Pilot-voorstellen vullen dat in.
En de beste BC is die van het ’0-scenario’; wat gebeurt er als deze architectuur niet tijdig wordt geïmplementeerd, wat is daarvan de maatschappelijke schade en welke bestuurder durft aan deze schade zijn/haar naam te verbinden.
Naar aanleiding van falende overheidsprojecten is het BIT ingesteld.
Misschien een suggestie?