Van blockchain tot Europees inloggen

Esther Makaay is specialist digital identity bij SIDN, Robert Garskamp is de oprichter van IDnext. 2 experts over de ontwikkelingen op het gebied van online identity. “Steeds vaker heeft een online identificatie dezelfde functie als je paspoort laten zien.”

IDnext

IDnext is zo’n 7 jaar geleden opgericht om innovaties op het gebied van online identity te ondersteunen. Oprichter Robert Garskamp: “Ik hield me al geruime tijd bezig met online identiteiten. Ik merkte dat de techniek vaak bepalend was voor de gekozen oplossingen. Veel bedrijven keken niet verder dan den eigen oplossing. Maatschappelijke en organisatorische factoren speelden amper een rol. Wat we, volgens mij, misten was een platform waarop experts en professionals uit de publieke en private sector kennis en ervaring konden uitwisselen. Dat werd IDnext.” De stichting organiseert onder meer bijeenkomsten, masterclasses en workshops, en brengt rapporten uit.

SIDN en Connectis

Begin dit jaar verwierven we een meerderheidsbelang in Connectis, één van de grootste leveranciers van veilige inlogoplossingen en herbruikbare digitale identiteiten. Meer dan 12 miljoen Nederlanders gebruiken de infrastructuur van Connectis om in te loggen bij ruim 250 dienstverleners. Met de krachtenbundeling krijgt de markt voor digitale identiteiten een sterke impuls.

Samenwerking met SIDN

IDnext is een kleine organisatie en wordt bijgestaan door experts en professionals die zich hebben verenigd in een advisory board. Zij doen hun werk onbezoldigd en ook veel andere werkzaamheden gebeuren door supporters van IDnext. Daarnaast wordt de organisatie gesteund door partners, waaronder SIDN. Onze ondersteuning gaat overigens verder dan de financiën. Zo organiseren we regelmatig dingen samen en zit onze collega Esther Makaay in de advisory board. Esther: “Deze brede groep professionals komt zo’n 6 keer per jaar bijeen. We wisselen kennis uit en bespreken nieuwe ontwikkelingen. Het is echt een klankbordgroep. ”Na onze overname van login-specialist Connectis is de synergie tussen SIDN en IDnext alleen maar sterker geworden.”

Toenemend belang

Het belang van online identiteiten groeit. Alles wordt digitaal, stelt Robert. “Kijk naar het contact met de overheid of met banken. Steeds vaker heeft een online identificatie dezelfde functie als je paspoort laten zien. Daar komt bij dat een goed beleid rondom digitale identiteiten belangrijk is voor een veilig internet. Goede identificatie en authenticatie maken misbruik immers moeilijker.“

Nieuwe wetgeving

Belangrijk voor het gebied van online identity zijn enkele nieuwe wetten die in 2018 gaan gelden: PSD2, GDPR en eIDAS. Robert. “PSD2 is een nieuwe Europese wet die het ook voor andere bedrijven dan banken mogelijk maakt om betaaldiensten aan te bieden, denk aan geld overmaken via Whatsapp of Facebook. Dat betekent dat deze bedrijven toegang moeten krijgen tot betaalrekeningen.” Esther: “Dit is heel ingrijpend voor de banken, die kapitalen hebben geïnvesteerd in veiligheid. Hoe weten zij of ze identificatie-oplossingen van een andere partij kunnen vertrouwen? Wanneer weten ze zeker of de juiste betaalrekening wordt benaderd?”

Robert-Garskamp

Databescherming

Een andere wet die veel invloed heeft is de Europese privacy-verordening GDPR, in Nederland uitgewerkt in de Algemene Verordening Gegevensbescherming. Esther: “Deze wet bepaalt dat je van een bedrijf mag vragen welke gegevens ze van je hebben. Zij moeten deze gegevens dan niet alleen overleggen, maar ze moeten ook kunnen uitleggen waar ze die voor nodig hebben. En ze moeten op verzoek data kunnen verwijderen. Dat heeft vanzelfsprekend grote invloed op de identificatie-oplossingen die organisaties gebruiken. Veel organisaties vragen immers teveel gegevens.”

eIDAS

Een derde grote aanjager voor veranderingen is eIDAS. Deze wet komt voort uit het streven van de Europese Unie naar één Europese digitale markt. Esther: “Concreet betekent dit dat je overal in Europa moet kunnen inloggen met de digitale identiteits-oplossing uit je eigen land. Een Nederlander moet dus kunnen inloggen bij een Oostenrijkse gemeente met DigiD. En andersom.” “Voor Connectis is eIDAS een enorme kans,” vertelt Robert. “Zij hebben er al voor gezorgd dat je bij zo’n 80 Nederlandse gemeenten met bijna alle verschillende Europese inlog-oplossingen terecht kunt. Ze hopen een van de leidende partijen in Europa te worden op dit gebied.”           

DigiD

eIDAS zet ook druk achter de doorontwikkeling van DigiD. Esther: “Vanuit veiligheidsoogpunt is er nog wel wat aan te merken op de Nederlandse identificatie-oplossing. De betrouwbaarheid wordt nu beoordeeld als ‘laag’. Omdat landen geen hogere eisen mogen stellen aan buitenlandse inlogmiddelen dan aan die van henzelf, zou dat betekenen dat we binnenkort een laag-betrouwbare oplossing uit bijvoorbeeld Roemenië zouden moeten accepteren.” Robert: “De overheid is daarom al een tijdje bezig met het platform Idensys. Deze publiek-private samenwerking zou moet zorgen voor meer veiligheid, bijvoorbeeld door 2-factor authenticatie, en voor meer gebruiksgemak. Onder het demissionaire kabinet is dit project op een laag pitje beland. Ik hoop enorm dat de politiek er alsnog werk van gaat maken.”

Eshter Makaay

Blockchain

Robert: “Blockchain-toepassingen worden gebruikt om transacties vast te leggen. Dat gebeurt bijvoorbeeld bij Bitcoin. Je kunt de techniek ook gebruiken om persoonsgegevens mee vast te leggen. Maar hoe weet je of de gegevens correct zijn? Hoe ga je om met vertrouwelijkheid?” De meningen onder experts zijn verdeeld, volgens Esther: “Volgens sommigen is blockchain hèt middel tegen identiteitsfraude. Volgens anderen mag het nooit gebruikt worden om persoonsgegevens vast te leggen, omdat het register van een blockchain nu eenmaal altijd openbaar is. Ook al zijn de gegevens in het register encrypted, dan nog is dit risico te groot.” Concrete identificatie-toepassingen van blockchain zullen overigens nog wel enkele jaren op zich laten wachten. IDnext organiseerde onlangs alvast een event op dit gebied, waaruit bleek dat er in Nederland veel belangstelling is voor dit onderwerp.

Robotics en het internet-of-things

Robert: “Het internet-of-things groeit en we zien op steeds meer plekken robots. Maar hoe moeten die worden aangestuurd? Hoe weet een robot naar wie hij moet luisteren? Hoe maakt hij verschil tussen een privé-account en een zakelijk account?” Esther: “Stel dat je een telefoon hebt van je werk. Leen je ‘m uit aan je kinderen om even te spelen? En wat als die hun high-scores gaan twitteren? Hoe maakt een telefoon onderscheid tussen zulk privégebruik en zakelijk gebruik? Moet dat worden opgelost met een inlog-mogelijkheid? Of op een andere manier?”

Identificatie op basis van attributen

Robert: “Een digitale identiteit bestaat uit verschillende attributen: naam, leeftijd, woonplaats, enzovoorts. Wanneer je jezelf nu ergens registreert, moet je vaak al je gegevens opgeven. Terwijl een site misschien maar enkele gegevens nodig heeft. Een bekend voorbeeld is een site voor een alcoholisch product. Die hoeven alleen te weten of je ouder dan 18 bent. Er zijn steeds meer toepassingen waarbij we identificatie op basis van enkele attributen zien. Consumentenorganisaties en belangenorganisaties die bezighouden met privacy ijveren hiervoor.” De vraag naar validatie neemt ook toe, vertelt Esther: “Werkt iemand wel echt bij een bepaald bedrijf? Hoort daar dan ook dat e-mailadres bij? En wie kan dat bevestigen?”

Flexibiliteit

Robert: “Als consument heb je al snel 20 verschillende accounts, ieder met een andere gebruikersnaam en wachtwoord. Erg onhandig natuurlijk. We zien daarom steeds vaker dat je op sites op verschillende manieren kunt inloggen, bijvoorbeeld met je Facebook-profiel of met iDIN, het online identificatiemiddel van de Nederlandse banken. Een bedrijf als Connectis maakt het voor organisaties mogelijk om bij hen in te loggen met de middelen van een andere organisatie.” Esther: ”Je zou kunnen zeggen dat Connectis aan bedrijven een soort stekkerdozen levert, waardoor ze hun klanten met een stekker naar keuze kunnen laten inloggen. Daardoor hoeven die bedrijven ook geen overzicht met identiteiten van klanten bij te houden, wat het risico op fraude en privacy-schendingen beperkt.”

Mobiel

‘Mobile first’, is tegenwoordig de regel, vertelt Esther. “Als het mobiel niet werkt, dan vliegt het niet. Dat geldt ook voor identity-oplossingen” Robert: “We zien steeds meer toepassingen die gebruikmaken van de mogelijkheden die smartphones bieden. Denk aan 2-factorauthenticatie, identificatie via de vingerafdrukscanner of het sturen van een selfie.”

Nog veel te doen

Online identity is hot. Het onderwerp is enorm in beweging. Toch wil Esther waarschuwen voor te veel enthousiasme. “Uiteindelijk gaat niemand voor zijn plezier inloggen. Het gaat altijd om de online toepassing, niet om hoe je daar komt. Identificatie- en authenticatie-oplossingen moeten in de toekomst geen product meer zijn, maar een commodity, iets wat vanzelfsprekend is. Voor die tijd hebben we echter nog heel wat te doen.”

Reacties

  • maandag 26 maart 2018

    Veilig internet

    Veilig verbinden moet voor iedereen toegankelijk worden

    Thumb-free-wifi

    Let’s Connect! biedt een open source VPN-oplossing

    Lees meer
  • dinsdag 28 november 2017

    Kennis

    Is alles wat op internet staat waar?

    Thumb-kids-telephone

    Leerlingen zijn minder digitaal vaardig dan ze zelf denken

    Lees meer
  • dinsdag 23 januari 2018

    .nl-domeinnaam

    SIDN analyseert .nl

    Thumb-fonQ

    SIDN neemt bekende .nl-websites onder de loep. De volledige film is nu online!

    Lees meer

Sorry

De versie van de browser die je gebruikt is verouderd en wordt niet ondersteund.
Upgrade je browser om de website optimaal te gebruiken.