Belofte van nieuwe digitale identiteit vereist waakzaamheid
RSS Feed
This article was placed on: dbc
Dit artikel in 1 minuut:
1. In het FTM artikel over digitale identiteit worden ten onrechte centralistische, privacy-schendende identiteitssystemen over één kam geschoren met decentrale systemen die juist de burger controle geven en privacy-by-design hanteren.
2. Self-sovereign identity (SSI) maakt soms gebruik van blockchain-technologie, maar alleen voor informatie die publiek beschikbaar moet zijn, nooit voor persoonsgegevens die vertrouwelijk moeten blijven.
3. De Dutch Blockchain Coalition heeft in haar door experts geschreven visiedocument de principes beschreven voor het ontwerp van een digitale identiteit met maximale bescherming van persoonsgegevens, inclusief de uitdagingen die zo’n identiteit introduceert.
4. Op Europees niveau wordt op veel gebieden gewerkt aan een nieuwe digitale identiteit. In plaats van dit af te wijzen doet Nederland er goed aan juist in deze fase te zorgen dat principes voor beschermen van de burger en diens privacy in het ontwerp van deze Europese standaarden worden verankerd.
Op 11 december publiceerde FTM het artikel 'Wetenschappers waarschuwen voor een nieuwe digitale identiteit'. Waar normaal gesproken het journalistieke platform uitblinkt in hun analyse en nuance, lijkt hier het kind van de decentrale identiteit te worden weggegooid met het badwater van de online privacyschending.
Toen identiteit digitaal werd, werd in eerste instantie gekozen voor zeer centraal ingerichte systemen omdat die voor de eigenaar van het systeem het meest efficiënt zijn. Een voorbeeld is het huidige DigiD, gebaseerd op het BSN, dat als bekend nadeel heeft dat de overheid precies van elke burger weet wanneer die waar inlogt. Voor bescherming van de burger kunnen we juridische afspraken proberen te maken, maar we kunnen ook het systeem minder centraal inrichten, en daarmee privacy-by-design verkrijgen.
Aan echte decentrale digitale identiteit (self-sovereign identity of SSI) wordt al heel lang gewerkt, met de ambitie om beleid zoals 'Regie op gegevens' en 'Burger/patiënt/cliënt centraal' daadwerkelijk te vertalen van belofte naar praktijk. De coronacrisis heeft digitalisering recentelijk verder versneld en ook de privacyaspecten daarvan (zoals rond het corona-paspoort) onder een vergrootglas geplaatst. Deze twee ontwikkelingen raken elkaar maar staan ook los van elkaar en moeten ieder op hun merites worden beoordeeld. Zo zijn bij de CoronaChecker app enkele aspecten van self-sovereign identity meegenomen in het ontwerp maar is uiteindelijk gekozen voor een niet interoperabele invulling die ook geen gebruik maken van een blockchain.
Het ontwikkelen van daadwerkelijk decentrale identiteit was al ruim voor Covid-19 in een stroomversnelling geraakt, onder meer door de 10 principes voor Self-sovereign identity die zijn beschreven door Christopher Allen. Een goede implementatie van deze principes (die de gebruiker daadwerkelijk centraal stellen en het verzamelen van identiteitsgegevens door big tech partijen bemoeilijken) is complex en moet dus niet lichtvaardig of overhaast worden gedaan.
Inmiddels zijn er verschillende technische manieren om self-sovereign identity in de praktijk te brengen. Sommige daarvan maken gebruik van blockchain-technologie, hiermee kan de identiteit van publieke instellingen en bedrijven beschikbaar worden gesteld op een betrouwbare en controleerbare manier en kunnen deze organisaties ook eerder uitgegeven bewijzen weer intrekken (revocation, iets waar bijvoorbeeld met de CoronaChecker QR-codes heel moeilijk gerealiseerd kan worden). Identiteitsgegevens van burgers, en andere informatie die vertrouwelijk moet blijven, wordt bij een applicatie die de SSI principes volgt nooit op de blockchain of andere publiek toegankelijke plekken gezet. Er zijn echter ook andere manieren om SSI te realiseren, die geen blockchain-component hebben en die daardoor andere afwegingen moeten maken tussen welke informatie centraal of decentraal beschikbaar wordt gesteld. IRMA van Bart Jacobs is daarvan een voorbeeld.
In plaats van deze SSI-systemen, die gebaseerd zijn op privacy-beschermende principes, tegen elkaar uit te spelen of, erger nog, over een kam te scheren met gecentraliseerde systemen (of ze nou komen van overheden, big tech bedrijven of anderszins), verdient het aanbeveling om te zorgen dat ze met elkaar kunnen samenwerken (interoperabiliteit). Dit kan de adoptie ervan in een stroomversnelling brengen en zorgen dat deze netwerken daadwerkelijk een goed alternatief vormen voor centrale opslag van persoonsdata en zo hun belofte waarmaken: de controle en regie terug naar het individu.
De ontwikkeling van een Europese digitale identiteit gebeurt op dit moment op meerdere vlakken, zoals eIDAS en ESSIF (European Self-Sovereign Identity Framework). Het is van groot belang dat de Nederlandse overheid direct en indirect (door het stimuleren van Nederlandse experts van kennisinstellingen en tech-bedrijven) invloed blijft uitoefenen op deze standaarden. Dit is vooral van belang omdat deze standaarden nog wel eens in besloten omgevingen worden ontwikkeld, zonder de transparantie die gebruikelijk is bij open source standaardisatietrajecten. Het risico op een standaard die in naam en terminologie decentraal lijkt maar in de praktijk overheden of bedrijven mee laat kijken met elke interactie moeten we zien te vermijden.
Het invoeren van gedecentraliseerde identiteitssystemen is niet makkelijk, en moet niet overhaast worden opgepakt. De covidcrisis kan dan wel een impuls zijn voor versnelde digitalisering maar mag geen excuus zijn om principes van privacybescherming opzij te zetten. De Dutch Blockchain Coalition heeft afgelopen jaar een visiedocument gepubliceerd waarin precies dit soort principes zijn uitgewerkt door een team van experts waaronder juristen en technici. In dit visiedocument geven we ook nadrukkelijk aan dat SSI geen wondermiddel is. Er zijn grote uitdagingen bij het ontwerp en ook na de invoering, om te zorgen dat een dergelijk systeem ook echt in het belang van burgers blijft werken. Met een blijvende genuanceerde blik en scherpe, onafhankelijke analyse kan decentrale identiteit een stuk dichter bij de belofte komen van zelf-soevereiniteit van burgers dan met de centrale oplossingen die we nu hebben.