In Arnhem tonen raadfracties interesse in de mogelijkheden van Yivi, zo bericht Omroep Gelderland. De app wordt bij gemeente Nijmegen al gebruikt. De aandacht volgt op bredere discussies over digitale soevereiniteit en zorgen over buitenlandse invloed op digitale infrastructuur.
Groeiende belangstelling voor Yivi als DigiD-alternatief
De interesse in de Nijmeegse identificatie-app Yivi groeit door de toenemende onrust rond de Amerikaanse overname van Solvinity, de beheerder van de infrastructuur waar DigiD op draait. In de gemeentelijke politiek groeit de belangstelling voor privacyvriendelijke alternatieven voor digitale identificatie.
Privacyvriendelijk alternatief
Yivi, voortgekomen uit de eerdere IRMA-app van privacyonderzoekers rond de Radboud Universiteit en Stichting Privacy by Design, profileert zich nadrukkelijk als privacyvriendelijk alternatief voor centrale identificatiesystemen. De app werkt volgens het principe van dataminimalisatie: gebruikers delen alleen de gegevens die strikt noodzakelijk zijn.
De belangstelling voor dergelijke systemen groeit inmiddels op meerdere fronten tegelijk. Gemeenten experimenteren al met Yivi als extra inlogmiddel naast DigiD. Zo biedt de gemeente Nijmegen inwoners inmiddels de mogelijkheid om voor bepaalde diensten met Yivi in te loggen. Daarbij wordt expliciet ingezet op minder gegevensverwerking en meer regie voor burgers over hun persoonsgegevens.
Progressief Nederland, Partij voor de Dieren, Arnhem Centraal, Volt, D66 en Burgerbelang Arnhem vroegen het college om ook te beginnen met Yivi, maar wethouder Maurits van de Geijn antwoordde dat DigiD het enige middel is dat wettelijk is erkend om inwoners digitaal te laten inloggen bij de overheid. Yivi is bij gemeente Nijmegen echter niet op juridische bezwaren gestuit.
Meer ID-wallets in aantocht
De Europese Unie werkt bovendien al langer aan brede invoering van digitale ID-wallets via de eIDAS-verordening. In Nederland creëert de Wet digitale overheid ruimte voor publieke én private identificatiemiddelen zoals Yivi. Organisaties bereiden hun systemen daar inmiddels op voor. Het gebruik van digitale ID-wallets kan daardoor de komende jaren sterk toenemen. Waar Yivi nu nog nicheproject lijkt binnen de privacy- en securitywereld, kan het in de komende jaren wel eens een serieuze kandidaat worden binnen de toekomstige digitale overheidsinfrastructuur.
Plaats een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.
De discussie evolueert kortom niet alleen van "download een specifieke app om in te loggen" naar "gebruik een digitale identiteit (VC/EAA) via een apparaat dat je al hebt".
Deze discussie over appje A of Appje B 'als alternatief' is écht achterhaald.
De werkelijke discussie zou allang niet meer moeten gaan over specifieke "inlog-apps", maar over onderkenning van het doorslaggevend belang van Verifiable Credentials (VCs) en Electronic Attestations of Attributes (EAAs). Waarom nog puntoplossingen aanbesteden, die zich hooguit vertalen naar lock-in en meer digitale kwetsbaarheid vanwege centralisatie, harmonisatie en standaardisatie die allang niet meer nodig zijn?
Het hart van deze discussie is de sprong van "app" naar "protocol"; van appjes voor van alles (DigiD, Tikkie, etc.) met de app als "poortwachter" (zonder app geen log-in) naar inloggen op basis van een protocol in plaats van lock-in op iemands product (nog los van de soevereiniteit discussie). Inmiddels heb je helemaal geen specifieke "inlog-app" meer nodig, maar een Wallet; niet meer dan een stukje User Interface. Er zit NIETS in een Wallet! Het is hooguit een houder voor wat sleutels die verwijzen naar een ledger ('blockchain') en wat data distributielogica (Smart Contract). Je kunt dus prima meerdere wallets downloaden, maar die dingen hebben vaak ook weer een eigen architectuur (open, gesloten, gecentraliseerd, gedecentraliseerd, sleutel wel van jezelf, sleutel beheerd door een derde). Deze identiteit discussie zou daarom niet meer moeten gaan om vragen om één specifieke app, maar over Verifiable Credentials en EAA's. Je claimt iets en de tegenvraag is "Kun je een VC tonen dat bewijst dat jij X inderdaad bent?" Dan open je je Wallet (élke wallet die VCs ondersteunt), je selecteert het juiste VC en je stuurt het naar de web service. Dan wordt dus het VC gecontroleerd en NIET de app waarin het zit. Zolang je een wallet hebt die dit VC kan tonen (door ernaar te verwijzen in de ledger), kun je inloggen. Soms is je identiteit (naam, geboortedatum) namelijk niet genoeg en moet je bijvoorbeeld ook bewijzen dat je bevoegd bent voor een specifieke taak. Bijvoorbeeld met een XS-ID dat verwijst naar onderwijscredentials.
VC: ik ben Piet Paaltjens. EAA: Ik ben Geregistreerd Arts (Attribuut).
Het gaat dus niet om de app, maar om een digitaal attest (EAA) dat in de wallet zit.
Zolang het formaat (EAA) en de ondertekening kloppen, werkt het inloggen.
Je hebt WEL een "Wallet" nodig, maar een Wallet heeft GEEN app nodig. Wie wil nou voor elk wissewasje een nieuwe app downloaden? Als je al een wallet hebt (bijv. van je bank of een overheidsdienst), kun je die prima gebruiken voor alle diensten die VCs accepteren. Het is dus helemaal niet meer nodig om afhankelijk te zijn van één aanbieder. Als je wallet-app verandert, kun je je credentials (VCs) prima naar een nieuwe wallet verplaatsen en blijft je inlogmogelijkheid gewoon bestaan. Dit maakt het systeem ook interoperabel: je kunt inloggen bij de overheid, een bank, of een privébedrijf met dezelfde digitale sleutels, ongeacht welke wallet-app je gebruikt. Je hoeft een wallet zelfs niet eens te downloaden, wat meteen welkome afstand zou creeren met Operating Systemen en App stores van derden. Om een non-custodial wallet op een telefoon te installeren zonder dat de gebruiker iets hoeft te downloaden (geen App Store, geen APK, geen installatieproces), maak je gebruik van Progressive Web Apps (PWA) en Web3-standaarden die draaien binnen de browser zelf ... en die zit op elke SmartPhone. De combinatie van PWA (voor de installatie-ervaring), Web Crypto API (voor de veiligheid van keys) en WebAuthn (voor biometrie) maakt het prima mogelijk om een volledige, non-custodial wallet te hebben die nooit gedownload hoeft te worden in de traditionele zin: een beveiligde website die zich gedraagt als een app.