Nederland wil binnen de Europese Unie ‘het voortouw’ nemen rond digitale ontwikkelingen zoals een online identiteit, zo staat in het Coalitieakkoord van afgelopen maand. Frankrijk laat in het programma van het voorzitterschap van de Europese Unie – die functie gaat elk halfjaar naar een andere lidstaat – weten dat het verder werkt aan een ‘Europese digitale identiteit’. Welk systeem we straks zullen gebruiken, is onduidelijk. Maar we staan voor belangrijke keuzes, zeggen experts.

‘We maken nu het identiteitssysteem voor de volgende generatie. Dat kunnen we op een goede of slechte manier doen. Maar daarna zitten we eraan vast,’ zegt Jacob Boersma, projectmanager bij de Dutch Blockchain Coalition (DBC) en voorzitter van de ‘identity working group’ van de Europese blockchain-vereniging INATBA.

Eigenlijk hebben we al ‘identiteiten’ op internet. Zo hebben veel mensen een account bij Google, Facebook of Apple. Bij talloze commerciële aanbieders, zoals webwinkels, hebben mensen een klantprofiel met informatie als leeftijd, adres, waar ook persoonlijke voorkeuren worden bewaard. Banken hebben informatie over al onze transacties. Tot slot is er DigiD, het overheidssysteem waarmee we ons kunnen identificeren: ik ben echt ik.

‘Naar privégegevens zoals adres en geboortedatum wordt om de haverklap gevraagd’

Omdat steeds meer zaken online geregeld (moeten) worden, zien academici, financiële dienstverleners, bedrijven en overheden de nood voor een uitgebreider systeem. ‘Het aantal online transacties [..] neemt al jaren stug toe, en zal dat voorlopig blijven doen. De wildgroei van paspoortkopietjes is gelukkig tot bedaren gekomen, maar naar privégegevens zoals adres en geboortedatum wordt om de haverklap gevraagd. En steeds vaker leunen webwinkels voor die informatie op Amerikaanse platformbedrijven zoals Google, Facebook en Paypal als intermediairs voor het inloggen en betalen door klanten,’ schreven onderzoekers van de Vereniging van Nederlandse Gemeenten (VNG) en de stichting Waag in 2019, waarbij ze spraken over een ‘doodlopende weg’.

Zo stellen ze dat het vertrouwde DigiD in toenemende mate ongeschikt raakt, om meerdere redenen. Bij DigiD wordt onze data centraal bijgehouden. Wanneer je inlogt, kom je eerst in de online omgeving van DigiD om dan te worden doorgeleid naar een overheidsdienst of zorgverzekeraar.

Het DigiD koppelt informatie aan ons burgerservicenummer (BSN). Dat is ‘in sommige situaties een te zwaar middel,’ zegt Bart Jacobs, hoogleraar privacy en identiteit aan de Radboud Universiteit. ‘Als je de gemeente wilt melden dat een lantaarnpaal niet werkt, is het voldoende als de gemeente je e-mailadres weet, om je een bevestiging te sturen. Je BSN is eigenlijk een heel gevoelig nummer.’

Een centraal systeem is doorgaans efficiënt en gebruiksvriendelijk, maar ook kwetsbaar en ‘minder privacyvriendelijk’, zegt Jaap-Henk Hoepman, universitair hoofddocent aan de Radboud Universiteit en de Rijksuniversiteit Groningen en gasthoogleraar aan de Karlstad Universiteit (Zweden). ‘Bij een centraal systeem kan een overheid steeds zien bij welke sites je inlogt.’ Bij een decentraal model is informatie opgeslagen bij de eigenaar of bron van de informatie, in dit geval de burger. Vaak is dat model gekoppeld aan het principe van self-sovereign identity (SSI). Je kunt zelf per situatie bepalen welke informatie je deelt, en met wie.

‘In de fysieke wereld werkt het ook zo’, legt Hoepman uit. ‘Je gaat naar de gemeente. Daar haal je een rijbewijs op. Dat stop je in je portemonnee. Even later houdt een agent je staande en haal je het rijbewijs uit je portemonnee. Maar de gemeente ziet niet hoe vaak jij staande wordt gehouden en wanneer je een rijbewijs gebruikt om het aan een agent te laten zien.’

Online wallet

Talloze partijen streven naar een nieuw systeem voor digitale identiteit. De Europese Unie werkt – deels om een alternatief te bieden voor Big Tech – aan een European Digital Identity Wallet, een kader waarbinnen landen hun eigen ‘online portemonnee’ kunnen maken waarmee burgers zich zowel bij overheidsinstanties als bij private partijen kunnen identificeren. De uitgangspunten komen deels overeen met die van het Nederlandse identiteitssysteem IRMA, het geesteskind van hoogleraar Jacobs, dat volgens de principes van self-sovereign identity (SSI) werkt en zonder blockchain.

‘In je wallet verzamel je attributen van jezelf: ik ben man, inwoner van Nijmegen, heb een bepaalde leeftijd,’ zegt Jacobs. ‘Die kun je selectief onthullen. Als je online een boek bestelt, geef je alleen je adres en een bankrekening. Verder niets.’ Jacobs noemt dat ‘proportionele authenticatie’.

Dat de Europese Commissie het uitgangspunt van ‘proportionele authenticatie’ volgt, stemt Jacobs – die Brussel daarbij adviseerde – positief, benadrukt hij. ‘De Algemene verordening gegevensbescherming (AVG) vereist data-minimalisatie. Je geeft niet meer weg dan noodzakelijk. De principes van dit plan zijn goed.’

Maar hoe het systeem wordt vormgegeven, is zeer belangrijk, zegt Jacobs. Eerder waarschuwde hij bij FTM voor een ‘surveillancestaat’ als dat verkeerd wordt aangepakt en grote bedrijven massaal data gaan verzamelen. Volgens Jacobs is het belangrijk om een identiteitssysteem open source te ontwikkelen en moet informatie ‘decentraal’ worden opgeslagen, zoals bij IRMA.

Blockchain

Wanneer men spreekt over ‘decentrale identiteit’, gaat het tegenwoordig al snel over blockchain. Die techniek kennen we van bitcoin, de virtuele munt die al zo’n tien jaar opgang maakt. Blockchain is technologie gebaseerd op een distributed ledger. ‘Ledger’ is het Engelse woord voor ‘grootboek’, een opsomming van financiële transacties bijgehouden door een accountant.

Dat is blockchain van oudsher ook: een registratiesysteem voor transacties. Maar ditmaal niet bijgehouden door een centrale autoriteit, zoals de staat (of de accountant), maar volledig geautomatiseerd, zonder controle van bovenaf, en opgeslagen op talloze plekken – vandaar het woord ‘distributed’. Net als in een grootboek kan ook in een blockchain de inhoud niet zomaar worden aangepast.

‘Dankzij blockchain is het mogelijk om écht decentrale systemen op te tuigen’

Het is eigenlijk de perfecte technologie om identiteitsverificatie vorm te geven, vindt Boersma van de Dutch Blockchain Coalition. ‘Juist dankzij blockchain is het mogelijk om écht decentrale systemen op te tuigen.’ Daarmee is de verificatie-informatie op meerdere plekken opgeslagen en is er geen grote organisatie de baas over. Persoonsgegevens worden niet opgeslagen in de blockchain zelf, benadrukt Boersma, in reactie op critici die stellen dat zo’n blockchain op gespannen voet staat met de AVG, waarin onder meer wordt beschreven dat niet meer data mag worden gebruikt of opgeslagen dan nodig is.

De Autoriteit Persoonsgegevens (AP) zegt alle ontwikkelingen ‘met belangstelling’ te volgen. ‘Steeds meer diensten zijn digitaal of worden digitaal gebruikt, waarvoor dus ook het vaststellen van identiteit eigen uitdagingen geeft,’ aldus een woordvoerder. De autoriteit ‘staat uiteraard voor de beginselen voor de bescherming van persoonsgegevens van de AVG’. De autoriteit onderschrijft wel de zorgen over het opslaan van informatie in een blockchain, maar wijst erop dat het ene systeem het andere niet is.

‘Schijndecentraal’

Grote bedrijven hebben de afgelopen jaren een voorkeur voor blockchain ontwikkeld. Dat geldt voor Microsoft, Mastercard en IBM. Die partijen lobbyen al sinds het begin van de eeuw voor de introductie van digitale identiteitssystemen, steeds met de belofte om gebruikers volledige controle over hun eigen gegevens te geven, de laatste jaren ook met een beroep op self-sovereign identity.

Ditmaal grijpen ze de coronapandemie aan om de noodzaak van een digitaal identiteitssysteem te benadrukken. De QR-codes van de coronapas lijken daarbij te fungeren als vliegwiel, signaleerde FTM eerder. Ook de Europese Commissie ziet toekomst in blockchain. Brussel test toepassingen uit in het Europees Self-Sovereign Identity Framework (ESSIF).

Volgens experts schermen bedrijven en overheidsinstellingen steevast met ‘decentraal’, maar is de invulling soms toch centralistisch. En daarin schuilt volgens hen een gevaar.

‘Een beperkt aantal bedrijven beheren de knooppunten en maken daar afspraken over. Zo hebben ze toch een vorm van macht’

Er bestaan twee soorten blockchain. Bitcoin is een voorbeeld van de permissionless variant: iedereen kan meedoen, het is in theorie decentraal en gedistribueerd en er is nauwelijks centrale macht. Tegelijkertijd slurpt het energie: elke transactie moet op veel plaatsen worden vastgelegd en rondgestuurd, de ledgers worden onhandelbaar groot, wat het systeem traag maakt. Veel blockchain-netwerken rond digitale identiteit zijn juist deels of geheel permissioned, waarbij een groep beheerders het netwerk draaiend houdt en gebruikers toegang verleent, legt Hoepman uit. Het voordeel van de permissioned versie is dat de verificatie niet door de gehele keten wordt gedaan, maar op de computers van de beheerders. Daarmee wordt minder data gebruikt, minder energie geslurpt, en werkt de blockchain sneller. Bovendien moet iemand worden toegelaten. Zo kan de juistheid van informatie worden geverifieerd.

‘Maar het is veel minder decentraal,’ legt Hoepman uit. ‘Een beperkt aantal bedrijven beheren de knooppunten en maken daar afspraken over. Zo hebben ze toch een vorm van macht. Noem het schijndistributie.’

Sovrin

Een interessant voorbeeld van zo’n permissioned systeem is Sovrin, dat een op blockchain gebaseerde dienst voor digitale identiteit heeft ontwikkeld. Sovrin is geïnitieerd door het relatief onbekende maar succesvolle bedrijf Evernym. 

Sovrin is op het oog gedecentraliseerd. Maar de knooppunten worden beheerd door stewards, waaronder IBM en Mitre. Mitre is een aan het Amerikaanse leger gelieerd cloak-and-dagger-instituut, dat samenwerkt met de FBI en ‘wellicht de belangrijkste organisatie is waarvan je nog nooit hebt gehoord’.

‘Dan moeten er toch alarmbellen afgaan’, zegt Bas Wisselink, mede-oprichter van Blockchain Workspace en een veelgevraagd spreker over blockchain. Hij zag geregeld hoe grote partijen aan de haal gingen met blockchain, terwijl ze eigenlijk volkomen gecentraliseerde systemen bouwden. Wisselink spreekt van ‘semantische spelletjes’. ‘Een systeem kan best gedecentraliseerd zijn, maar als je verder graaft, is er vaak toch een punt waarop iemand controle kan uitoefenen. Dat is het verraderlijke. Het haalt alles weg wat wij positief vinden aan een blockchain. Ik ben nog steeds voor blockchain. Maar zodra dit het resultaat is, is het gewoon een database onder een mooie naam.’

‘Dat je in de praktijk permissioned systemen maakt, heeft diverse redenen. Een daarvan is de wetgeving’

Michael Shea, voorzitter van de self-sovereign identity-werkgroep van Sovrin, ziet dat anders. Volgens hem vertoont de blockchain-community ‘minachting’ voor bestuursprocessen, die niettemin simpelweg nodig zijn, mede vanwege de wetgeving: ‘Dat je in de praktijk permissioned systemen maakt, heeft diverse redenen. Een daarvan is de AVG-wetgeving.’ Een onderzoek van het Europees Parlement onderschrijft Shea’s stelling ten dele.

Gevraagd naar de rol van Mitre zegt Shea: ‘Dit soort instituten heeft enorm veel kennis in huis, mijn indruk is dat er ervaren en professionele mensen werken. Aangezien Sovrin het eerste productie-netwerk voor self-sovereign identity is,  is het niet verrassend dat Mitre een van de stewards is.’

Wisselink ziet intussen met lede ogen aan hoe blockchain, ooit geadopteerd door vrijbuiters en privacy-voorvechters, naar zijn opvatting voor andere doelen wordt aangewend. In december twitterde hij dat ‘de sector is overspoeld  door techbros die met gladde praatjes burgers de surveillancestaat injassen’. 

Hoepman heeft een andere zorg: het systeem zelf heeft bij blockchain-technologie de ‘macht’. Dit gaat via het zogeheten ‘consensus mechanisme’, een set regels  die de kaders vaststellen en bepalen hoe de deelnemers zich tot elkaar verhouden. ‘Wie de spelregels bepaalt, heeft de macht.’ IT-adviseur Paul Oude Luttighuis formuleerde soortgelijke bezwaren.

Ook bij dit systeem zijn er partijen die het ‘beheren’. Dat is ‘nog niet decentraal genoeg’

Boersma is kritisch over Sovrin, maar blijft geloven in een werkelijk gedecentraliseerde vorm van identiteitsverificatie. Hij werkt mee aan het Dutch Trust Network, een infrastructuur voor toepassingen die uitgaan van self-sovereign identity. ‘Daarin zijn we bezig met een Nederlandse governance, waarbij we de weeffouten van Sovrin proberen te voorkomen.’ Ook bij dit systeem zijn er partijen die het ‘beheren’. Dat is ‘nog niet decentraal genoeg,’ zegt Boersma toe, maar hij verwacht verbetering.

‘Het is genuanceerd: centraal en decentraal zijn niet absoluut. Zelfs bitcoin heeft enkele centrale eigenschappen,’ zegt hij tegen FTM. ‘Maar je moet er voortdurend aan werken om niet de richting van centralisatie in te slaan, wat een soort natuurlijke neiging is.’

Mijnenveld

De keuzes voor een systeem van digitale identiteit lijken op een mijnenveld, waarin details een wereld van verschil maken en elke beslissing voor de korte termijn serieuze consequenties kan hebben voor de toekomst.

Boersma pleit ervoor om internationale ontwikkelingen nauwgezet te volgen. Binnen ESSIF worden de keuzes nu door een ‘tamelijk besloten groep experts’ gemaakt en wordt informatie pas achteraf met het publiek gedeeld. Hij noemt het ‘van groot belang dat de Nederlandse overheid direct en indirect invloed blijft uitoefenen op deze standaarden’.

Uiteindelijk is Boersma het meest positief over het plan voor het network-of-networks, een initiatief van het Duitse esatus, het Oostenrijkse Danube en het Nederlandse kennisinstituut TNO. Het TNO houdt zich al langer bezig met digitale identiteitssystemen: het is een steward van het Sovrin-netwerk, werkte mee aan de ontwikkeling van een corona-uitslagenapp en was ook betrokken bij een internationale denktank over coronapassen.

Bij het network-of-networks worden allerlei Europese self-sovereign identity-netwerken  aan elkaar gekoppeld. ‘Dat is een krachtig idee, omdat het onwaarschijnlijk is dat er op korte termijn één standaard is, laat staan wereldwijd. Veel netwerken en toepassingen zijn regionaal of op een bepaalde sector gericht. Die aan elkaar koppelen met gemeenschappelijke technische standaarden lijkt mij een stuk kansrijker,’ zegt Boersma.

‘Nederland wil voorop lopen in Europa. Met IRMA doen we dat, en het werkt al, dus waarom omarmt Nederland dat niet gewoon?’

Hoogleraar Jacobs hoopt juist dat Nederland stopt met blockchain. Hij wees in een recent artikel voor iBestuur op het grote energieverbruik ervan en spreekt van ‘a solution looking for a problem’. Jacobs roept de nieuwe staatssecretaris Koninkrijksrelaties en Digitalisering, Alexandra van Huffelen (D66), op om te breken met het beleid van haar voorganger Raymond Knops (CDA), die een blockchain-overeenkomst met Duitsland sloot. ‘Nederland wil nu voorop lopen in Europa. En men wil open source. Met IRMA doen we dat al, en het werkt al, dus waarom omarmt Nederland dat niet gewoon?’

Een woordvoerder van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties gaf geen antwoord op vragen van FTM en verwijst naar Kamervragen van Renske Leijten (SP) naar aanleiding van een eerder artikel van FTM. Daarop worden nog antwoorden voorbereid.