Het kabinet heeft onlangs, naar aanleiding van de kaderwet Wet digitale overheid (WDO), een "internetconsultatie":https://www.internetconsultatie.nl/identificatiemiddelen gehouden. Centraal in die consultatie stond de vraag waaraan identificatiemiddelen die toegelaten willen worden, moeten voldoen. Bob Kronenburg vindt het een goed idee dat gebruikers straks meer keuzevrijheid hebben en breekt specifiek een lans voor zogenoemde Self Sovereign Identity-toepassingen, zoals IRMA. "Self Sovereign Identity kan het échte verschil maken."
Laten we beginnen met veiligheid. Veel middelen die we nu kennen, verwerken data centraal namens een gebruiker als deze bijvoorbeeld ergens wil inloggen. Het middel heeft alle gegevens van gebruikers in een eigen database zitten en faciliteert transacties en inlogprocessen. Dat is een proces waar de gebruiker geen zicht heeft op wat er onder de motorkap gebeurt. Centrale middelen moeten (mede daarom) aan zeer strikte voorwaarden voldoen. Het risico op datalekken uit centrale databases voor een belangrijke toepassing als inloggen bij overheidsdiensten, is er gewoon. Daar moeten we eerlijk over zijn. Hoe goed de uitgevende organisaties ook hun best doen onze persoonlijke data te beveiligen.
Ten tweede. Als gebruiker wil ik ook kunnen controleren of de software doet wat het moet doen en of deze geen ongewenste achterdeurtjes kent. Gebruik van open source software, waar het ministerie van Binnenlandse Zaken inmiddels ook een richtlijn voor heeft uitgevaardigd, zou zeer verstandig zijn. Of op zijn minst de plicht om de broncode te openbaren. Persoonlijk wil ik daar nog wat stelliger in zijn. Het is gewoonweg een gemiste kans als de ‘open-tenzij’-richtlijn hier niet op van toepassing wordt. Publieke dienstverleners en publieke diensten zijn tenslotte de eersten die de bescherming van burgers, ook in het digitale domein, dienen te respecteren. Als zij het al niet doen, hoe kunnen we dan verwachten dat anderen dat wél doen?
Van een aantal aanbieders, waarvan je kunt verwachten dat zij hun dienst toegelaten willen krijgen binnen het toelatingskader, is onduidelijk in hoeverre zij gebruikersdata en gedraginformatie van hun gebruikers ook voor andere toepassingen gebruiken. Als gebruiker kun je onmogelijk controleren of dit gebeurt. Daar wringt de schoen. Hoe kan ik een middel vertrouwen waarbij ik geen zicht heb op wat er allemaal met mijn gegevens gebeurt, buiten het proces waar ik het middel zelf voor wil gebruiken? Waarmee ik overigens niet wil beweren dat die middelen er per definitie andere doelstellingen en eventueel verdienmodellen op nahouden. Maar ik merk wel op dat ik dat niet kan controleren; moet ik daar dan maar op vertrouwen als gebruiker? De discussie die ontstond rondom de ontwikkeling van de corona-apps maakt dat extra duidelijk, waarbij de minister al snel concludeerde dat open source software een voorwaarde voor acceptatie vanuit samenleving was.
Alternatief?
Ja. Een alternatief is te vinden bij open source SSI-toepassingen, de zogenoemde Self Sovereign Identity-toepassingen. Hierbij kan de gebruiker bij officiële uitgevers waarheden en gegevens over zichzelf ophalen en elders gebruiken om zichzelf kenbaar te maken. In zo’n model is er helemaal geen sprake van centrale databases die kunnen lekken. En ze zijn ook nog eens opgezet om alleen datgene wat nodig is te delen. Door slechts die stukjes data (attributen) te delen die nodig zijn om toegang te krijgen tot de diensten waar je gebruik van wil maken. ‘Regie op gegevens’ is hier bij uitstek van toepassing.
Alle risico’s ten aanzien van veiligheid, transparantie en de kans op oneigenlijk gebruik van persoonlijke data en gedragsinformatie, worden zo fors gemitigeerd. Een ‘lek’ beperkt zich tenslotte tot een persoon (account) en raakt geen hele database. Een groot aantal gebruikers compromitteren kost kwaadwillenden dus heel wat meer moeite. En omdat de software open source is, bouwen veel ontwikkelaars mee. Al die ontwikkelaars kijken kritisch mee en kunnen hun zorgen of bezwaren in alle openheid delen.
Eigenlijk past SSI het best bij de ontwerpprincipes van privacy by design. Privacy by Design is ook letterlijk een eis binnen de AVG (Algemene verordening gegevensbescherming). Privacy by Design voorkomt centrale honeypots voor hackers en kwaadwillen. En het voorkomt het onverkwikkelijke risico op oneigenlijke data-exploitatie (door sommigen ook wel ‘data-pooiers’ genoemd) omdat in de software waarborgen zijn ingebouwd die dit voorkomen. Privacy by design als principe ligt ook het dichtst bij het principe van dataminimalisatie en regie bij de gebruiker/eigenaar van data.
Economische afwegingen
Dan zijn er nog de economische afwegingen. Alle centrale ID-middelen rekenen af per transactie. Iedere keer dat een inlog/authenticatie plaatsvindt. Zo kost bijvoorbeeld het gebruik van DigiD dit jaar 0,138 euro per succesvolle authenticatie, exclusief btw. Door SSI in te zetten kun je eenmalig een uitgifte doen vanuit een bron of een register, waarna gebruikers de aan hen verstrekte informatie hergebruiken zolang deze informatie geldig is. Hierdoor nemen de kosten per transactie significant af. Dit is bevorderlijk voor het gebruik van het middel.
Door gebruik te maken van Self Sovereign Identity-toepassingen nemen de kosten per transactie significant af. Dit is bevorderlijk voor het gebruik van het middel
Doorgaans wordt SSI gezien als ondermijning van bestaande verdienmodellen. Ik vind dat pertinent onjuist. Als we in de ‘BV Nederland’ in staat zijn om digitale vertrouwensinfrastructuur betrouwbaar en betaalbaar te maken, profiteert letterlijk elke digitale dienstaanbieder en overheid daarvan. Zeker vanuit de dienstverlener bekeken. Het geld dat anders uitgegeven zou worden aan authenticatiekosten, wordt flink lager. Geld dat je direct in kunt zetten voor betere of goedkopere dienstverlening. In een wereld waarin we steeds meer digitaal willen organiseren, kun je dat onmogelijk géén goed idee vinden.
Publiek vs. privaat
In het huidige eID-landschap zijn allerhande middelen beschikbaar voor particulieren: itsme®, iDIN, DigiD en veel meer. Allemaal hebben ze één ding gemeen: ze zijn of bruikbaar in het publieke domein, of bruikbaar in het private domein. Door het aanstaande toelatingskader verandert dat mogelijk en krijgen burgers eindelijk middelen in handen waarmee zij in beide domeinen gemakkelijk en betrouwbaar kunnen inloggen. Dit verhoogt gebruiksgemak voor de burger en de bereidheid om een middel te willen gebruiken.
SSI-oplossingen, zoals IRMA (I Reveal My Attributes) of Sovrin, zijn anders omdat deze geen (centraal) ID-middel zijn, maar juist een drager van identiteitsgegevens die de burger zelf in de binnenzak heeft zitten. Hierbij bepaalt de burger zelf met welke (combi van) middelen hij of zij zichzelf kenbaar maakt. Een SSI waarmee de burger zowel BRP-attributen, bankattributen en zijn of haar persoonlijke contactgegevens kan tonen, versterkt authenticatieprocessen. Je kunt immers meer middelen tegelijk gebruiken om een verhoogd digitaal vertrouwen te realiseren.
SIDN & IRMA
Sinds september 2019 werkt SIDN (beheerder van het .nl-domein) nauw samen met stichting Privacy by Design, de ontwikkelaar van IRMA, een SSI-oplossing oorspronkelijk ontwikkeld aan de Radboud Universiteit. Deze samenwerking ontstond omdat we beide geloven dat een veilig en sterk internet voor iedereen (ondernemer, individu én overheid) niet alleen gaat over internetprotocollen/standaarden en een robuust beheer van een domeinzone. Het gaat ook over cybersecurity, veilige digitale toegangsoplossingen en transparante, controleerbare technologie. Digitale identiteit is tenslotte geen handelswaar.
SIDN beheert de centrale componenten van de infrastructuur die ervoor zorgen dat IRMA werkt zodat gebruikers op elk gewenst moment hun IRMA-app kunnen gebruiken. SIDN zorgt er ook voor dat partijen die IRMA in hun processen aanbieden, er zeker van kunnen zijn dat IRMA werkt. Voor de goede orde, de centrale componenten waar ik over schrijf bevatten geen databases of centrale gegevensopslag, maar alleen randvoorwaarden die een veilig gebruik van het decentrale middel mogelijk maken.
Er zijn meer SSI-oplossingen dan IRMA, bijvoorbeeld Sovrin en Solid. Onze binding met Nederland door .nl en het gegeven dat IRMA een Nederlandse innovatie is, maakt het onzes inziens logisch dat we met IRMA samenwerken. Ook heeft IRMA op dit moment al een nuttige koppeling met de BRP (Basisregistratie Personen), waardoor IRMA nu al te gebruiken is door gemeenten en in de zorgsector. Hiermee laten we (SIDN en IRMA) zien dat er veiligere en betere (open source) oplossingen mogelijk zijn dan de centrale stelsels die we nu als ‘mainstream’ herkennen.
Met deze samenwerking als basis biedt SIDN een aanvullende dienst voor websites die een login met IRMA willen aanbieden aan hun klanten, genaamd IRMAconnect. Met IRMAconnect maakt SIDN het mogelijk dat partijen IRMA ontzorgd kunnen afnemen via hun eigen identity broker. Maar partijen kunnen dat ook in eigen beheer, waarbij zij zelf hun eigen IRMA-servers draaien en beheren en op die manier relatief eenvoudig toegang krijgen tot het innovatieve en betrouwbare IRMA-ecosysteem. Inkomsten die wij vanuit de samenwerking genereren, worden gebruikt om het IRMA-stelsel duurzaam en stabiel aan te bieden en door te ontwikkelen. Zowel de Privacy by Design als SIDN zijn overigens stichtingen zonder winstoogmerk. Een klein detail waar veel waarde in verborgen zit.
Appèl
Bij het vaststellen van een toelatingskader hebben we de unieke kans om drie dingen te doen:
- De burger beschermen tegen data-driven verdienmodellen en een integere publieke voorziening realiseren;
- Betaalbare en betrouwbare middelen mogelijk maken, wat het gebruik door en vertrouwen van de burger zeker positief beïnvloedt;
- De scheidslijn tussen publieke en private middelen doorbreken.
Een oplossing zoals IRMA, en SSI in het algemeen, moeten serieus genomen worden. Zeker in het publieke domein. Dan is het definiëren van het juiste toelatingskader voor SSI-oplossingen een belangrijke factor. Gemeenten en uitvoerders van overheidsdiensten kunnen door te experimenten, met bijvoorbeeld IRMA, leren wat de waarde is van deze SSI-oplossingen. Een aantal Nederlandse gemeenten, waaronder Nijmegen, Amsterdam, Leiden, en Haarlem, doet dit nu al. We nodigen andere gemeenten uit om het ook te ervaren.
Laten we er samen voor zorgen dat we een integere, betrouwbare infrastructuur voor digitale diensten in Nederland realiseren. Te beginnen met betrouwbare en integere Identiteits- en authenticatieoplossingen. Daar is iedereen bij gebaat.
Bob Kronenburg is werkzaam bij SIDN en werkt aan de ontwikkeling en groei van IRMA