Self Sovereign Identity: een paradigmashift

Data moeten verifieerbaar zijn om waarde te hebben. | Beeld: Shutterstock

We zitten in de overgang naar de vierde industriële revolutie waar de digitale wereld zal integreren met de fysieke. We zijn echter nog steeds problemen aan het oplossen van de vorige drie. Klimaatverandering is een bijeffect van de eerste, toen we op grote schaal fossiele brandstof zijn gaan gebruiken voor het produceren op stoomkracht En een overblijfsel van de derde industriële revolutie is het idee dat data een soort olie is die gewonnen, opgeslagen en verkocht kan worden.

De haken en ogen van vooruitgang

Maar net als het gebruik van fossiele brandstof, heeft dit concept een paar haken en ogen: Ruwe data ontbeert vertrouwen. Net zoals ruwe olie geraffineerd moet worden om bruikbaar te zijn, moet data verifieerbaar zijn om waarde te hebben. Je kan op data vertrouwen wanneer het is uitgereikt met de juiste zekerheid, door een betrouwbare partij en waarvan de integriteit kan worden geverifieerd wanneer het getoond wordt. Een dataverzameling wordt dus alleen waardevol voor betrokken partijen wanneer het gedeeld kan worden met de juiste kwalificaties.

SSI is de beoogde methode om vertrouwen toe te voegen aan persoonlijke data en zo transactie risico’s mitigeert.

Wat instanties over je weten is onderdeel van je identiteit. Het ongebreideld verzamelen van gegevens past niet in de manier hoe we tegen privacy aankijken. Je hebt het recht om niet lastig gevallen te worden. Privacy is een noodzakelijk fundament van een gezonde samenleving en het onderhouden van persoonlijke relaties. Daarom hebben we wetten geformuleerd (GDPR, eIDAS) om instituties met een grote data honger te beteugelen en jou controle te geven of jouw eigen data. Maar welke middelen heb je daar nu voor?

Data- en identiteitsuitdagingen tackelen

Wanneer het mogelijk is om verifieerbare data te delen waarbij het subject van de data de controle heeft of wat hij met wie deelt, kunnen de eerder beschreven haken en ogen worden getackeld. Gelukkig bestaat er al een concept die precies dit beoogt: Self Sovereign Identity (SSI). Er is veel discussie wat SSI nu precies is, zowel op technisch als op filosofisch vlak, maar waar de meeste mensen het over een zijn is dat SSI de beoogde methode is om vertrouwen toe te voegen aan persoonlijke data en zo transactie risico’s (zoals: niet betalen, niet leveren, ongekwalificeerd werk) mitigeert.

Driehoek van vertrouwen

SSI draait om het concept van verifiable credentials: gegevens die zijn uitgegeven door een partij kunnen gepresenteerd worden aan een andere partij door de houder (holder) van deze gegevens. Dit noemen we de driehoek van vertrouwen.

De partij die de gegevens opvraagt kan de authenticiteit en validiteit verifiëren zonder contact te hebben met de uitgever van deze gegevens. Hierdoor blijft de autonomie (soevereiniteit) van de houder van de gegevens gewaarborgd. De gemeenschap rond het uitwisselen van verifieerbare gegevens voor een bepaald belang (zogenaamde ‘assurance communities’) stellen in afsprakenstelsels vast hoe het benodigde niveau van zekerheid (Level of Assurance) voor elk gegeven geborgd is.

Het integreren van SSI verandert de bedrijfsvoering

Het gebruik van SSI klinkt als een goede belofte waar kostenbesparing, privacy en klantbelang hand in hand gaan. Bijvoorbeeld het onboarden en Identity & Access Management (IAM) voor zowel klanten als werknemers wordt met SSI een stuk eenvoudiger wanneer ze digitaal verifieerbare gegevens laten zien. De adoptie van SSI vraagt wel om een viervoudige paradigmawijziging die verder reikt dan de IT afdeling alleen: het verandert de bedrijfsvoering fundamenteel.

Adviezen die we vanuit TNO aan bedrijven geven zijn onder andere.:
1. Sla het bewijs op, niet de data
2. Vergeet de wachtwoorden
3. Wees waardevol voor je klanten
4. Werk samen met je concurrenten

1. Sla het bewijs op, niet de data

De eerste radicale wijziging gaat over het opslaan van de gegevens van je klanten en/of werknemers. Momenteel slaan de meeste bedrijven gegevens op als gedigitaliseerd papier (Bijvoorbeeld een PDF van een paspoort waarvan eventueel nog wat attributen zijn overgenomen in een database). Mogelijk is dit digitale papiertje vergezeld met een activiteitenlog dat verklaart welke werknemer wanneer gekeken heeft of de document authentiek was. Dat wordt verleden tijd. Eerst zullen organisaties moeten vaststellen wat echt nodig is voor je procesuitvoering. Heb je de geboortedatum nodig, of is het voldoende om bewezen te hebben dat een klant ouder is dan 18? Heb je echt inzicht nodig in wat een mogelijke hypotheek kant de afgelopen 5 jaar heeft verdient, of is een verifieerbaar bewijs dat het boven een bepaalde drempel was afdoende om op te vertrouwen? In veel gevallen is het opslaan van de daadwerkelijke attributen (geboortedatum, salaris) overbodig. Organisaties zullen hun procedures moeten heroverwegen met data minimalisatie in het achterhoofd en hun systemen en processen moeten aanpassen om te gaan met het bewijs dat iets “waar” is, in plaats van met PDF’s.
 
2. Vergeet de wachtwoorden

Zowel je werknemers als je klanten hebben de vervelende gewoonte om hun wachtwoorden te vergeten. Momenteel lijkt het doel om de kosten van het aantal calls hierover te laten dalen in tegenspraak met security die keer op keer met strengere inlogeisen komt. Self Sovereign Identity zal deze patstelling beëindigen. Door een set verifieerbare gegevens te presenteren kunnen klanten en werknemers worden geauthentiseerd op het hoogste security niveau zonder dat ze hiervoor domein specifieke wachtwoorden moeten onthouden of gebruik moeten maken van Multi Factor Authentication (MFA). De gebruiker hoeft zich enkel te authentiseren naar zijn wallet, waarschijnlijk middels biometrie, eventueel gecombineerd met een PIN voor transacties met de hoogste Level of Assurance

3. Wees waardevol voor je klanten

Terwijl het uitgeven van inloggegevens iets uit het verleden zal zijn, kan je je afvragen welke gegevens uit je organisatie van waarde kunnen zijn voor je klanten zodra ze worden uitgegeven als verifieerbare gegevens. SSI zal de relatie die je met je klant hebt veranderen. Wanneer iemand een aanvullende ziektekostenverzekering afsluit, kan het waardevol zijn het bewijs kunnen te overleggen een trouwe sportschoolbezoeker te zijn. Het uitgeven van ervaringscertificaat aan ‘gig workers’ is voor hun veel waardevoller dan onverifieerbare reviews. En een onomstotelijk bewijs dat je nooit te laat was met het betalen van je huur, kan de hypotheekverstrekker net het extra vertrouwen geven om je die hoge hypotheek te verlenen. Naast het verifiëren en uitgegeven van gegevens kan je organisatie ook de rol van gegevenshouder spelen. Elke partij kan namelijk elke rol spelen in de driehoek van vertrouwen.

Zaken doen kan een stuk eenvoudiger worden wanneer je verifieerbare gegevens kan overleggen aan een financiële instelling

Zaken doen kan een stuk eenvoudiger worden wanneer je verifieerbare gegevens kan overleggen aan een financiële instelling om het “Know Your Customer” (KYC) proces te doorlopen. SSI zal de manier hoe je naar gegevens kijkt vanuit elke positie veranderen..

4. Werk samen met je concurrenten

Als laatste, maar zeker niet als minste, is de verandering in het proces om tot een afweging te komen welk niveau van vertrouwen benodigd is. In plaats van zelfstandig wetgeving interpreteren en een risico balans op te stellen, zullen bedrijven dit in samenwerking willen doen met de partijen die in dezelfde klantreis zitten. Je zou ook samen willen werken met je concurrenten om versnippering van methodes om vertrouwen toe te voegen te voorkomen. Wanneer je gezamenlijk overeenstemming bereikt over syntax, semantiek en logistiek ontstaat er een duidelijk speelveld van gegevens en partijen met het juiste niveau van zekerheid. Bijvoorbeeld: hoe is het gegeven “achternaam” gestructureerd? Welke uitgevers van dat gegeven onderschrijven de zekerheid die ik nodig heb voor mijn proces? Welke SSI infrastructuur is betrouwbaar genoeg voor het uitwisselen van de gegevens? Waarschijnlijk wil je zelfs dit willen uitdenken en inrichten samen met eventuele toezichthouders. Wanneer je de toezichthouder opneemt in je assurance community kan deze de proces controles automatiseren omdat zij dezelfde definities van vertrouwen hanteren.

Start met de voorbereiding

Self Sovereign Identity heeft een aantal fundamentele wijzigingen voor een organisatie en zijn omgeving nodig om de decentrale architectuur van vertrouwen neer te zetten. En hoewel de maatschappij nog niet aan de poort van een bedrijf klopt met de eis om SSI te gebruiken, kan dit snel veranderen. De eIDAS 2 verordening zal later dit jaar van kracht worden en eist van alle EU lidstaten dat zij aanwijzen welke infrastructuur zij gaan toestaan in 2023.

In 2024 zal de acceptie van eIDAS2 gekeurde infrastructuur verplicht worden voor corporates.

Overheidsinstanties zijn al gestart met het onderzoek naar het digitaliseren van gegevens van burgers. In 2024 zal de acceptie van eIDAS2 gekeurde infrastructuur verplicht worden voor corporates. Wanneer je de voordelen van SSI wil ervaren en je klanten persoonlijk digitaal wilt bedienen terwijl je hun privacy respecteert, is het nu tijd om je voor te bereiden om de fundamentele wijzigingen in je organisatie en te starten met het bouwen van je assurance community. TNO bouwt aan een consortium om deze hordes gezamenlijk en non-competitief te nemen voor zowel de publieke als de private sector. Laten we samenwerken!

Alexander van den Wall Bake is Business Consultant Self Sovereign Identity bij TNO