Burgers moeten meer regie krijgen op hun digitale leven. De invoering van een digitale identiteit moet dit streven ondersteunen. Dit vormt de basis voor de Nederlandse invulling van het Europese Digitale Identiteit raamwerk (EDI stelsel). De eerste versie van de 'wallet' wordt open source ontwikkeld. Staatssecretaris van Huffelen wil deze in 2023 werkend hebben.
Staatssecretaris Alexandra van Huffelen | Beeld: De beeldredaktie, Lex Draijer
Dat schrijft de staatssecretaris in haar in Voortgangsrapportage Europese Digitale Identiteit, dat ze 17 augustus jl. per brief aan de Tweede Kamer stuurde.
Publieke waarden
In haar brief sluit de staatssecretaris aan bij de uitgangspunten die de Europese Commissie eerder formuleerde bij het voorstel voor een Europese Digitale Identiteit raamwerk. ‘Het beoogt burgers en bedrijven zaken simpeler en veiliger te laten regelen in hun digitale leven.’ Tegelijk wil Europa tegenwicht bieden aan grote techbedrijven die ook wallets aanbieden. Met een Europees raamwerk voor nationale wallets kunnen we deze kansen verzilveren terwijl we onze publieke waarden borgen.’
Wat levert een wallet burgers, bedrijven en overheid op?
De staatssecretaris is bezig met het opzetten van een programma dat zich gaat bezighouden met voorzieningen en afspraken voor de te ontwikkelen wallet-apps. “Hierbij leg ik de hoogste lat als het gaat om gegevensbescherming, informatieveiligheid en toegankelijkheid”, schrijft Van Huffelen in de brief.
Maatschappelijke Kosten-Baten Analyse
Om duidelijk te krijgen van het nut en de noodzaak van wetgeving, wordt een Maatschappelijke Kosten-Baten Analyse (MKBA) uitgevoerd. Maar dit zal volgens Van Huffelen ook meer inzicht geven in de risico’s en kansen die wallets met zich meebrengen; wat levert een wallet burgers, bedrijven en overheid op? Dit najaar presenteert ze de uitkomsten van de MKBA aan de Tweede Kamer.
Toolbox
Samen met de andere lidstaten ontwikkelt Nederland een toolbox met de technische architectuur, te hanteren standaarden en richtlijnen die moeten bevorderen dat nationale EDI-wallets in de hele Europese Unie werken. In oktober 2022 moet de eerste versie van de Toolbox met technische uitwerkingen gereed zijn.
Uitdagingen
De komst van wallet-apps en een digitale identiteit brengt ook uitdagingen met zich mee, aldus Van Huffelen. Het gaat dan om overvraging van de gegevens van burgers, het overal zich moeten identificeren, het gedwongen gebruik van de digitale identiteit en het ontstaan van een controlesamenleving. De staatssecretaris had eerder al binnen de EU bezwaar gemaakt tegen het universele gebruik van één uniek en persistent nummer en aangeboden om een alternatief te onderzoeken. Ook wil ze dat het gebruik van wallets vrijwillig blijft en dat burgers alternatieven moeten kunnen kiezen in het overheidsdomein, zoals ons huidige DigiD.
In een bijlage bij de Kamerbrief beschrijft de staatssecretaris haar kijk op de context, waarden, kansen en uitdagingen van wallets in het algemeen en het Europese Digitale Identiteit raamwerk in het bijzonder.
Large Scale Pilots
De Europese Commissie de ontwikkeling en invoering van de wallets stimuleren door het organiseren van vier grootschalige experimenten, de zogeheten Large Scale Pilots (LSP’s). Daarvoor is een bedrag van 37 miljoen euro beschikbaar. Nederland probeert volgens Van Huffelen deel te nemen aan de pilots. De deadline voor het indienen van voorstellen is inmiddels verlopen (17 augustus). De pilots gaan van start in 2023 en duren twee tot drie jaar.
Identiteitdenken is een vak en gaat heel wat verder dan wallet-apps.
Er is ook al zeer veel werk in gedaan, zoals ISO 29003 en ISO 8000:116 bijvoorbeeld.
Reputatie en juridische validiteit bepaling vergen een mate van vertrouwen en zekerheid, die dankzij digitalisering sterk afhankelijk is geworden van meetbaarheid. Hierbij gaat het om veel meer dan digitaal-ondersteunde procesverwerking, maar vooral om verifieerbare en vertrouwde identificatie en authenticatie van alle betrokken mensen, machines, organisaties, processen, applicaties en datasets.
Die Wallet wordt het probleem niet! Wel de verificatie van trust ankers in context. Hier zou een relatie kunnen liggen met de wereld van i4trust.org en fiware.org, maar denk vooral ook aan het werk van http://www.gleif.org en http://www.gs1.org, die al jaren vertrouwensankers voor gegevens leveren.
Standaarden vereenvoudigen de onderliggende processen, omdat gebruikers op deze wijze een gemeenschappelijke taal spreken om vertrouwde informatie te delen. Standaardisatie en governance-modellen zijn alleen nog niet uitontwikkeld.
Het gevolg is een toenemende complexiteit door snelle verandering en globalisering, die kansen biedt voor fraudeurs. Het gaat niet om een wallet, maar om context verificatie frameworks. Bestaat een persoon wel ‘echt’? Kloppen informatieclaims? Digitaal-onderbouwd vertrouwen vergt een (i) steeds verfijndere contextuele notie van authenticatie van een identiteit, (ii) orkestratie van het ecosysteem om de context te verhelderen en (iii) toegangsbeheersing in een pallet van in toenemende mate geautomatiseerde, logische interacties tussen mensen, machines en organisaties.
Dat vereist niet zozeer een wallet, maar een identiteit-ecosysteemraamwerk, dat gebruik maakt van online, kruislings vertrouwde claims, die hun juridische legitimiteit telkens onderbouwen, ook in relatie met cybersecurity en legal engineering. Die wallet zou claims moeten kunnen helpen opvragen en vergelijken in een netwerk van elkaar vertrouwende registers. Met de toenemende verweving van leveringskanalen, komt een toenemende verwachting van de eindgebruiker voor gebruiksgemak, service kwaliteit en effectief management van de bedrijfsidentiteit. De voordelen spreken voor zich:
– vermindering van administratieve lasten en coördinatie kosten;
– verbeterde en vernieuwde dienstverlening tegen lagere transactiekosten;
– terugbrengen van de (fraude)risico’s, vergroting van het algeheel vertrouwen en verbetering van de beveiliging van de organisatie.
Ook de eindgebruiker gaat er op vooruit met betere identiteit borging:
– de burger/klant kan en zal meer vertrouwen stellen in de (bedrijfs)reputatie;
– de gewenste dienstverlening kan efficiënter worden afgenomen.
De realisatie van deze wensen betreft echter vooral een kwestie van de mate van samenhang tussen identificatie, vertrouwen (trust) en een mate van zekerheid dat de aannamen en verwachtingen ook gerechtvaardigd zijn (assurance). Normalisatie-instituten noemen dit de Level(s) of Trust en Levels of Assurance (LoA).
Wat je zou moeten willen is het kunnen toekennen van een Level of Assurance aan een individu door kruislings vertrouwende, onderlinge referenties op waarachtigheid te kunnen verifiëren om de legitimiteit van een mens, zijn/haar assets en relaties kunnen bepalen, op basis van het vergelijken van data zoals namen (o.a. de Ultimate Beneficial Owner), kentekenplaten, bankrekeningnummers, (vestigings)adres(sen), KvK-nummer(s), kadasternummer(s), toegekende vergunning(en), transactie-historie … de lijst is uitbreidbaar. Hoe meer digitale technologie wordt uitgerold, des te makkelijker identificatie plaats kan vinden. De regel geldt namelijk, dat hoe groter de digitale ‘footprint’ van een mens is, des te meer kans er bestaat op fraude en digitale veiligheidsincidenten. Alles draait dus om verifieerbaarheid. Niet om de wallet. De truc om verificaties uit te voeren, bevindt zich in de controle van claims tegen autoritatieve bronnen; gegevensbronnen, die verzameld zijn onder een erkend mandaat tegen een verifieerbaar gegevenskwaliteitsniveau (zoals ISO 8000), met resultaten die zich bijvoorbeeld laten opslaan in een blockchain.
Het gaat niet om de wallet, maar om de autoriteit van de te verifiëren gegevens, want:
– menselijke relaties en hun organisaties veranderen voortdurend;
– arbeidspopulaties muteren voortdurend;
– sleutelmanagement op basis van asymmetrische versleuteling is complexer geworden op mobiele telefoons, omdat besturingssystemen, datacontainers en cloud apps losser verbonden worden, dus hoe houdt je de wallet intrinsiek betrouwbaar?
Traditioneel worden bestanden gekoppeld tussen applicaties om digitale samenwerking mogelijk te maken. Dit vindt op directe wijze plaats door het programmeren van koppelingen en indirect door de gegevens via een hub te bevragen. Vandaag kunnen we eenvoudiger ook ‘stukjes data (attributen)’ bevragen op grond van claims, binnen het kader van strikte voorwaarden (policies). Gegevenseigenaren stellen eisen op, waaraan gegevens-bevragers moeten voldoen. Zo wordt het foutloos verwerken van datasets mogelijk, zonder complete applicaties te hoeven koppelen. We kunnen bijvoorbeeld vragen naar ‘aantal’ en niet naar ‘soort’, of naar ‘klant’ en niet naar ‘betalende partij’. Actoren vragen slechts data-aspecten op, die zij op grond van hun proces nodig hebben om een identificeerbare actie uit te kunnen voeren, waarmee doelbinding wordt gegarandeerd. Door stapsgewijs een kruislings bevraagbare registers van gegevensattributen op te zetten, kunnen we controleren of een organisatie legitiem is. Dat blijkt uit alle gegevens die dan zouden moeten zijn afgegeven bij autoritatieve bronnen. De hiervoor benodigde wallet/blockchain-omgevingen zullen gebruiksvriendelijk worden, met alle managementuitdagingen, zoals herstel, rotatie en veilige toegang die daarbij komt kijken. Wat kortom nodig is, is een breed toepasbare verificatie methode van identiteit en authenticiteit, met hooguit een wallet als aspect. Er bestaan alleen al drie dimensies van identiteitsvaststelling:
1. Als burger is de overheid het anker van de identiteit van het individu (basisregistratie, paspoort, et cetera.) Alle andere identiteitsmiddelen, zoals rijbewijs, zijn daar top down van afgeleid. Dit model staat onder druk, want er komen meer mensen online wier nationale overheid helemaal niet in staat is om een betrouwbare identiteit af te geven. Het traditionele overheidsmodel van identiteitsvaststelling ‘houdt het niet meer bij’. Zo’n wallet dus ook niet.
2. Moderne Staten maken gebruik van een zogenoemd early-bind model, dat wil zeggen eerst controleren en vervolgens een token verstrekken. Met de zogenoemde Zelf-Soevereine-methode ontvangt de gebruiker een leeg, getekend token, zonder Trust verbinding. Die Trust is te verdienen door claims te maken, die na verificatie worden opgeteld bij het token. Op deze manier ontstaat een groeiende wallet met attestaties, van partijen die een gemaakte claim inderdaad onderschrijven. Er is echter geen zicht op het onderliggend proces, dus feitelijk weet de handelingpartner nog niet hoe de gegevens tot stand gekomen zijn. Dit model legt de macht over identiteitsbepaling in handen van Internet-bedrijven, die claimen betrouwbaar zelf-soevereiniteit te kunnen faciliteren. Internetbedrijven hebben echter formeel niet het mandaat om identiteiten af te geven, maar zijn er technisch wel veel beter in dan overheden. Zo’n wallet wil je dus ook niet, maar je kunt er ook niet omheen want hij ‘doet’ het en is goedkoop.
3. De derde benadering is Zero-Knowledge Proof (ZKP). Om te weten of de gegevens die een actor heeft overeenkomen met de gegevens die een overheidsorganisatie of een andere erkende autoritaire bron bezit, voldoet wiskunde. Zonder match kloppen de gegevens niet en moet worden gezocht naar aanvullende gegevens. Dankzij ZKP-protocollen is het mogelijk dat alle relying parties elkaar op de hoogte houden als gegevens ongeldig zijn. Een legitieme partij die niets te verbergen heeft, kan hiervoor toestemming geven en een dergelijke afspraak houdt de betrokken gegevens correct. De combinatie van Zelf-Soevereiniteit met ZKP maakt zou wel gefedereerde policies mogelijk maken, waaraan wallet(s) zich digitaal getekend zouden moeten houden om verifieerbaar betrouwbaar (genoeg) te kunnen zijn.
Door bovenstaande identificatiemethoden te combineren ontstaat een gedecentraliseerde identiteitsincubatie, die de ruggengraat van elke moderne bedrijfsvoering kan faciliteren. Er zijn al veel mogelijkheden waarop een burger eigenaar kan worden van zijn/haar identiteit, maar de vraag is dus wat een identiteit IS.
De benodigde blockchain-technologie en -protocollen zijn ook best geschikt voor het faciliteren van gedecentraliseerde identiteiten (DID’s), maar een beetje wallet zou dus minstens drie dimensies van identiteits-vaststelling technisch moeten kunnen combineren. Door gebruik te maken van veilige gecodeerde digitale hubs – die met gegevens van gebruikers kunnen communiceren, terwijl diens privacy en controle worden gerespecteerd – kan de waarachtigheid van identiteit informatie van mensen, machines, organisaties, applicaties en individuele datasets worden geborgd binnen een ecosysteem van (toe)leveranciers en afnemers.
Vertrouwen moet elk individu verdienen, maar wordt slechts verschaft door een gemeenschap. Waar traditionele identiteitssystemen zijn gericht op authenticatie en toegangsbeheer van opgelegde tokens, voegen nieuwe concepten (DiD, ZKP, ROLO etc.) de contextuele verificatie van authenticiteit toe die een gemeenschap in vertrouwen kan (be)vestigen. In een gedecentraliseerd systeem is vertrouwen gebaseerd op attesten: beweringen die andere entiteiten onderschrijven. Dit ondersteunt het bewijzen van data facetten en een wallet zou dus hooguit een setje nietszeggende sleutels kunnen zijn die de context kan triggeren, zoals een magneet een patroon in ijzervijlsel kan triggeren. Attesten (claims op de waarheid) zouden real-time moeten kunnen worden vergeleken tussen ongelijksoortige autoritatieve bronnen en relying partners.
Het creëren van een nieuw robuust en veerkrachtig, gedecentraliseerd en tevens gefedereerd identiteitsecosysteem dat voor iedereen wereldwijd toegankelijk is, vraagt om standaard open source-technologieën, protocollen en referentie-implementaties. Blockchaintechnologie en -protocollen lijken uitermate geschikt voor het faciliteren van gedecentraliseerde identiteiten (SSI/DID’s). Daarnaast zullen overheidsorganisaties een stevige reality check moeten uitvoeren, want het traditionele early bind-model met centrale identiteitsplatforms is domweg niet opgewassen tegen de uitdagingen van de netwerkmaatschappij.
Relying partners zijn partijen die evenveel te verliezen hebben als de eigen organisatie indien de bevraagde informatie niet correct is. Zo wil een bank zeker weten dat een hypotheek wordt terugbetaald op een asset dat bekend is bij het kadaster, waarvan het adres bekend kan staan als bedrijf bij de Kamer van Koophandel. DID’s, ROLO’s en ID-hubs, gebaseerd op blockchaintechnologie, kunnen helpen om hun leden in een ecosysteem om toegang te krijgen tot een steeds nauwkeuriger reeks attesten, terwijl zij regulatory compliance-risico’s helpen te verkleinen door alleen met deze gegevensattributen te verwerken in plaats van identiteiten en bestanden namens de gebruiker te controleren, maar dat vraag POLICY en niet zozeer een wallet.
Weg met die wallet. Word net zo dom verkocht als de euro, dat word ook gewoon onze ondergang. Dit is niet voor de burger, dit is TEGEN de burger. Als ze zo opkijken naar china moeten ze daar lekker gaan wonen laat ons met rust!!@@
De wallet is om u nog meer te kunnen te controleren..
Via de sleep wet.
Zogenaamd dient gemak de mens aan de andre kant dient u de overheid en de eu u geeft u via de wallet dingen vrij die eigelijk privacy zijn.
En aan gezien privé wetten in ons land allemaal schijn zijn
Zal ik deze troep dus nooit gebruiken
De overheid is er niet voor maar tegen u .
Ze werken met een dubbele agenda.
Trap er niet in mensen.