E-identity: Het borgen van de privacy van de klant is essentieel

Voorafgaand aan het e-Identity congres interviewde wij Maarten Wegdam, managing partner InnoValor. In het interview geeft hij zijn visie op de ontwikkelingen van identificatie & authenticatie van klanten en wat er nodig is om de volgende stap in digitale identiteit te maken.

“Onze smartphone is het ultieme persoonlijke apparaat, die dragen we altijd bij ons. En we zijn er zuiniger op dan op onze portemonnee.”- Maarten Wegdam, managing partner, InnoValor

Welke ontwikkelingen zijn er op het gebied van identificatie & authenticatie van klanten?

Steeds meer realiseren organisaties zich dat identificatie & authenticatie van klanten niet hun core business is. Dit zelf doen is niet alleen duur, maar in veel gevallen ook minder veilig en minder gebruikersvriendelijke dan dit aan gespecialiseerde derden over te laten, zogenaamde identiteitsproviders of authenticatiediensten. In het overheidsdomein kent iedereen dit al met DigiD, die als een soort derde partij burgers authentiseert voor allerlei overheidsdiensten en anders diensten die BSN mogen gebruiken (zorg en pensioen).

Dat dit soort herbruikbare identiteiten een goed idee is heeft, uitzonderingen daargelaten zoals in het hoger onderwijs, nog niet echt geleid tot een grootschalige introductie van herbruikbare identiteiten. Redenen hiervoor zijn dat het erg veel vertrouwen eist van de afnemende partij (bv een online retailer) in de identiteitsprovider, onduidelijkheid over business modellen, market entry uitdagingen (kip-ei probleem) en privacy uitdagingen.

Welke initiatieven zijn er om identificatie en authenticatie van personen (burgers, consumenten) en bedrijven op de digitale toekomst in te kunnen richten?

Er zijn vele initiatieven, misschien is dat wel één van de problemen. Als dit geen dagelijkse kost is, is het lastig bij te houden. Ik noem wat belangrijke initiatieven. In Nederlands zijn het met name Idensys, BankID, een nieuw publiek middel en versterkingen van DigiD. Idensys is de nieuwe naam van het eID Stelsel, een afsprakenstelsel beheert door de Nederlandse overheid waarin private identiteitsproviders gebruikers authentiseren voor publieke en private partijen. Idensys kan gezien worden als een doorontwikkeling van eHerkenning, een vergelijkbaar afsprakenstelsel gericht op business-2-government diensten. BankID is een gezamenlijk initiatief van de Nederlandse banken,  die van plan zijn hun bancaire identiteiten te gaan hergebruiken vergelijkbaar het Idensys.

Er is ook een initiatief van de Nederlandse overheid tot een veilig publiek middel voor toegang tot publieke diensten, door rijbewijs en identiteitskaart hiervoor geschikt te maken. In de  tussentijd werkt de Nederlandse overheid ook aan DigiD versterking door een DigiD app te introduceren en het mogelijk te maken een rijbewijs, paspoort of identiteitskaart te gebruiken als authenticatiemiddel bovenop DigiD basis, door de contactloze chip uit te lezen met een NFC reader of smartphone.

Kortom, een bult ontwikkelingen die hopelijk elkaar versterkend allemaal samenkomen in één afsprakenstelsel. Maar of en wanneer dit gebeurt is nog erg spannend. Vanuit Europe wil ik met name eIDAS noemen, dit is een EU verordening waarbinnen landen elkaars digitale identiteitsoplossingen moeten gaan accepteren. Als laatste wil ik FIDO noemen, dit is een veelbelovende nieuwe standaard waarmee het makkelijk wordt allerlei verschillende authenticatiemiddelen te koppelen, zodat een Bring-Your-Own-Authentication haalbaar wordt: mensen kunnen zelf kiezen welk authenticatiemiddel ze willen gebruiken.

Wat is er nodig om de volgende stap in digitale identiteit te maken?

Ik ga het nu even niet over de diverse initiatieven hebben, of het gebrek aan besluitvaardigheid en tempo. In plaats daarvan richt ik me op twee meer inhoudelijk stappen: online identiteitsverificatie en mobile-first identity. Van oudsher is het nodig om bij het uitreiken van betrouwbaardere digitale identiteiten, in betrouwbaarheidsniveaus STORK 3 en 4, om een face-2-face identiteitscontrole uit te voeren. Maar dit is duur en gebruikersonvriendelijk, en de technologie is inmiddels verder.  We kunnen mijn inziens nu ook serieus werk gaan maken van online identiteitsverificatie processen, die gebruik maken van eerder wel fysiek uitgereikte identiteiten, bijvoorbeeld het op afstand uitlezen van de chip van een paspoort met een smartphone, in combinatie met een videochat. In Duitsland is men hier al verder mee, maar ook in Nederland zie ik dat de tijd rijp is om dit te gaan doen.

Een andere, parellel, stap is wat ik noem mobile-first identity. Onze smartphone is het ultieme persoonlijke apparaat, die dragen we altijd bij ons, en we zijn er zuiniger op dan op onze portemonnee. Identiteitsoplossing zouden ook meer de mobiel centraal moeten stellen, in plaats van smartcards of hardware tokens. Voor betalingen hebben we binnenkort met mobile payments als geen pasjes meer nodig, maar ik denk dat voor digitale identiteiten we snel daarna ook geen portemonnee meer nodig hebben.

Hoe is het gesteld met de privacy en bescherming van de klant, nu en in de toekomst?

Het is essentieel dat we dit goed borgen, niet alleen omdat de wet dit eist, niet alleen omdat dit ethisch vereist is, maar omdat dit de basis is van vertrouwen van de gebruiker in digitale identiteiten, en online dienstverlening in het algemeen. We moeten hier goed gebruik maken van de laatste ontwikkelingen in privacy-enhancing technologieën, en waar deze er (nog) niet zijn, of te onvolwassen, is een goede maatschappelijke dialoog nodig om keuzes te maken. En, mijn inziens, ook deskundige en goede toezichthouders hierop.

Het is geen simpele materie, ook niet voor volksvertegenwoordigers en de rechtelijke macht. Een zinvolle maatschappelijk dialoog en effectief toezicht vereisen allereerst transparantie, over welke informatie er nu over wie met wie wordt gedeeld, en met welk doel. Dat ontbreekt nog wel eens. En hoewel er experts zijn die hier minder vertrouwen in hebben, blijf ik geloven in informed consent, dus controle houden bij de gebruiker over zijn data. De nieuwe privacy verordening van de EU, wanneer deze eindelijk in werking treedt, zou ook moeten helpen.