Vaccinatiepaspoort: vliegwiel voor versnelling richting zelfbeheerde identiteit?
Vorige week gaf de EU aan positief te zijn over een digitaal vaccinatiepaspoort. Overheden zouden dit moeten aangrijpen om haar regierol in het digitale landschap rondom identiteit te versterken. En wel door versnelde stappen te zetten richting een slimmere identiteitsinfrastructuur. Een ecosysteem waarin de controle op identiteit weer komt te liggen waar het hoort: in de handen van de burger.
Beeld: Jungle Minds
Hoewel er ook flink wat bezwaren tegen een digitaal vaccinatiepaspoort zijn; de economische bevrijding die een dergelijk paspoort zou kunnen brengen is enorm. En de politieke druk om over te gaan tot actie dus ook. Doen overheden het niet, dan springen de geijkte marktpartijen als Google & Apple gretig in het gat, zo is de redenering. Een belangrijk moment dus.
Digitale identiteit is cruciaal geworden voor onderling maatschappelijk vertrouwen
Is het eigenlijk wel wenselijk, zo’n vaccinatiepaspoort? Hoe hou je zoiets betrouwbaar? En wie bepaalt vervolgens wat je burgers wel en niet mag ontzeggen op basis van een dergelijk bewijs? Uiteraard wijzen onder meer Rutte en Merkel ook al op dergelijke vragen. Maar het gaat toch eigenlijk vooral over uitdagingen ten aanzien van technische infrastructuur en haalbaarheid op korte termijn. Als die bal eenmaal rolt is het lastig voor te stellen dat we deze infrastructuur niet zouden gaan gebruiken.
De meest in het oog springende observatie kwam van Ursula von der Leyen. Zij vreest dat bij gebrek aan slagvaardigheid vanuit de overheden, marktpartijen als Google of Apple een dergelijk ‘paspoort’ ontwikkelen. En daarmee met onze zorgdata aan de haal gaan. Die zorg is begrijpelijk. Want kijk eens naar hoe we als burgers vandaag de dag met onze digitale identiteit om gaan: dat landschap is zonder enige twijfel in grote mate vormgegeven door opportunistische marktpartijen, en niet door overheden. De uitkomsten tot nu toe zijn verre van wenselijk.
De gebruiker centraal in het identiteitsecosysteem
De overheid als regisseur
De discussie over het vaccinatierapport raakt aan het grotere thema ‘digitale identiteit’ dat in overheidskringen steeds meer aandacht krijgt. In de Visiebrief Digitale Identiteit van februari 2021 onderstreept staatssecretaris Raymond Knops (Binnenlandse Zaken) het grote maatschappelijk belang van digitale identiteit. En geeft hij zijn visie op de rol die de overheid zou moeten spelen in het identiteitslandschap. Hoe samen te werken met marktpartijen, andere overheden en leveranciers van digitale identiteits-middelen moet samenwerken. Om zo te komen tot een identiteits-ecosysteem waarin de belangen van maatschappij en burger beter gewaarborgd worden dan vandaag de dag het geval is.
Dat digitale identiteit cruciaal is geworden voor onderling maatschappelijk vertrouwen, economische groei en effectief en inclusief contact tussen overheid en burger, is een gegeven. En dus is een betrouwbare infrastructuur voor digitale identiteit eenvoudigweg onmisbaar. Echter, vandaag zijn burgers (vaak zonder alternatief) afhankelijk van grote, niet-Nederlandse techbedrijven. Partijen met verdienmodellen gestoeld op het verzamelen en benutten van zoveel mogelijk gebruikersdata. Ook spreekt de staatssecretaris zijn zorg uit dat voor sommige groepen burgers het domein van digitale identiteit te complex is om goed gebruik van te kunnen maken. Met alle maatschappelijke gevolgen van dien.
Digitale inclusie, privacy & veiligheid, toekomstbestendige overheidsdienstverlening en natuurlijk het faciliteren van economische groei. De staatssecretaris ziet alle reden om ‘in gezamenlijkheid met partners te bouwen aan vertrouwen in de digitale wereld’. De staatssecretaris wil zorgvuldige identificatie, betrouwbare authenticatie en gecontroleerde autorisatie mogelijk te maken. Kortom: burgers in staat te stellen zelf de regie te voeren over een gezaghebbende bron van identiteitsgegevens. Die gezaghebbende bron? Juist: de digitale identiteit van burgers zoals door de overheid vastgesteld en geregistreerd. Een door de overheid uitgegeven, erkende en in de wet en regelgeving verankerde, digitale identiteit. Bedoeld voor gebruik gemakkelijk gebruik door burgers, in zowel het publieke als het private domein.
De burger als soevereine eigenaar van haar identiteit
Het meest aansprekende deel van de visie van de staatssecretaris is het belang dat wordt gehecht aan regie en zelfbeschikking van de burger zelf. De burger moet zelf de doorlopende controle hebben welke informatie je op welk moment met welke partij deelt. Eigenlijk exact zoals we dat al lang doen met een regulier paspoort: de overheid is de ‘gezaghebbende bron’. De burger heeft beschikking (en verantwoordelijkheid) voor het het fysieke paspoort en kan het gebruiken om afgeleide digitale identiteitsmiddelen te maken (bij bijvoorbeeld een bank, verzekeraar of een energiebedrijf).
Klinkt logisch. Maar het staat in schril contrast met de huidige manier waarop we met digitale identiteit omgaan. Nu is digitale identiteit met name het domein (lijkt) van een aantal private techreuzen die onze kenmerken opslaan en die wij vervolgens gebruiken om ons weer bij derden partijen kenbaar te maken. Dat is niet alleen bizar, het leidt (naast vele andere onwenselijke praktijken) zeker niet tot vertrouwen en een gevoel van zelfbeschikking bij de burger.
Het doel is dus dat de overheid een basisblok biedt waarmee, binnen de kaders van de digitale identiteit infrastructuur, andere partijen betrouwbare diensten kunnen aanbieden. Allemaal onder regie en zelfbeschikking van de burger. Self Sovereign Identity (SSI) wordt het genoemd: een beweging die voorstaat dat burgers in controle horen te zijn van hun persoonlijke gegevens en eenvoudig moeten kunnen bepalen wie wel en geen toegang heeft tot deze informatie. En waarin derde partijen kunnen vertrouwen op de betrouwbaarheid van deze gegevens.
Het vaccinatiepaspoort en zelfbeheerde identiteit
Het ‘vaccinatiepaspoort’ als ongekende kans
Terug naar het actuele vraagstuk omtrent het vaccinatiepaspoort. Of een dergelijk paspoort nou wel of niet wenselijk is, is niet aan mij om hier te betogen. En uiteraard is een ‘zelfbeheerde’ identiteitsinfrastructuur zoals het ministerie deze omschrijft in haar visie niet noodzakelijk. Er zijn al de aantal vergevorderde identiteitsmiddelen beschikbaar. Of wellicht dat een tijdelijke, eenvoudigere oplossing op korte termijn kan volstaan.
Wat ik wel durf te stellen: de ‘zelfbeheerde identiteit’ visie van het ministerie is de juiste. En als het ministerie stappen wil zetten richting haar visie dan is dit het moment. Om een dergelijke fundamentele omslag in het digitale identiteit landschap in beweging te krijgen is de juiste aanleiding nodig. Een aanleiding die het maatschappelijk belang van dit onderwerp concreet voelbaar maakt. Een aanleiding die zo tastbaar is dat burgers het niet alleen begrijpen maar er zelf actief mee aan de slag willen. En een aanleiding zoals het vaccinatiepaspoort dus. En zo’n kans komt maar heel, heel zelden voorbij.
Adoptie is de sleutel: zo simpel als het versturen van een Tikkie
Kijkend naar de berichten van vorige week: het is logisch dat er veel aandacht is voor haalbaarheid en de technische infrastructuur. Maar minstens zoveel aandacht zou uit moeten gaan naar een net zo cruciale succesfactor: de burger zelf. Deze visie kan eenvoudigweg niet zonder brede adoptie door burgers. En dus kan de visie van de zelf-soevereine burger alleen worden gerealiseerd wanneer de overheid vanaf de start de burger erkent als cruciale speler in het ecosysteem.
Als het verleden ons één ding leert, is het dat nieuwe oplossingen alleen breed worden omarmd als de oplossing begrijpelijk en gebruiksvriendelijk is. Wat wordt de gebruikerservaring van deze ‘Zelf-Soevereine Identiteit’? Hoe geef ik derden toegang tot mijn gegevens? Hoe stel ik specifieke delen van mijn identiteit beschikbaar? Hoe maak ik het delen van persoonlijke informatie net zo simpel als het versturen van een Tikkie? Voor een gewone gebruiker is het enige dat telt: ‘begrijp ik het, is het gemakkelijk te gebruiken en kan ik vertrouwen op de veiligheid?’
Hoe maken we onze digitale identiteit in het gebruik net het zo gemakkelijk en intuïtief als het tonen van uw paspoort bij de douane?
Kortom: hoe halen we de zelfbeheerde identiteit uit het technische domein en geven we dit een gebruikersinteractie die door burgers wordt begrepen. Een gebruikerservaring die helder en makkelijk is. En echt aansluit bij de wensen, behoeften en dagelijkse context van burgers. Oftewel: hoe maken we onze digitale identiteit in het gebruik net het zo gemakkelijk en intuïtief als het tonen van uw paspoort bij de douane?
De visie die de staatssecretaris uitspreekt is de juiste. Natuurlijk moet de burger veel meer controle krijgen over haar identiteit. En natuurlijk heeft de overheid een cruciale rol binnen het ecosysteem om deze visie te bewerkstelligen. Maar het onderwerp is abstract. Behalve nu ineens. Maar vergeet de overheid de cruciale rol van de burger in haar aanpak, dan is elke poging op voorhand gedoemd te mislukken. Dus maak in alle spoed nou niet die al zo vaak gemaakte fout. Ontwerp niet voor de burger maar met de burger. Betrek haar vanaf de eerste analysefase en in elke stap die volgt. Burger-centric ontwikkelen. Dat is geen modegril of het zoveelste buzzword. Het is gezond verstand.
De huidige belofte van de verantwoordelijken is dat iedere Nederlander nog vóór de zomer gevaccineerd is tegen COVID19.
Dan hebben we dat ‘paspoort’ dus óók niet meer nodig.
Afgezien van het punt dat met de huidige stand van (semi-)overheids-IT dat ‘paspoort’ bij voorbaat al hackable is is de grote vraag : ‘Wie verdienen er aan dat onnodige paspoort?’
Mooi stuk en goede weergave van een complex onderwerp (digitale identiteit). Ik kijk uit naar toekomstige stukken van jouw pen.