Het concept van burgeridentiteit zoals we dat in Europa kennen, vindt zijn oorsprong in de tijd van Napoleon, toen overheden verantwoordelijk werden voor het registreren en beheren van de identiteit van burgers – meestal om belastingen efficiënt te innen. En jarenlang is dit de manier geweest waarop het systeem functioneerde.
Sindsdien zijn het concept, de kenmerken en de toepassingen van digitale identiteit aanzienlijk uitgebreid, waardoor we opnieuw moeten nadenken over de processen eromheen – en over het eigenaarschap zelf. Moet de verantwoordelijkheid voor het registreren en beheren van al deze gegevens nog steeds bij de overheid liggen? Moeten overheidsinstanties zich bezighouden met de softwareontwikkeling om deze processen te digitaliseren? En waar liggen de verantwoordelijkheden – en kansen – voor de private sector?
eIDAS 2.0 verandert de manier waarop we deze vragen benaderen, stelt Joran Frik, expert op het gebied van gedecentraliseerde identiteit en Senior Manager Digital Identity bij Deloitte in Brussel.
Van zakelijke identiteit naar burgeridentiteit
In de afgelopen zeven jaar heeft Joran de focus van het cybersecurityteam binnen Deloitte’s Identity Service-afdeling geleidelijk zien verschuiven. “Traditioneel lag onze aandacht op het domein van zakelijke identiteit, oftewel de manier waarop medewerkers inloggen op hun werkaccounts. Steeds vaker richten we ons echter ook op hoe klanten van organisaties – de externe gebruikers – inloggen, toegang krijgen tot persoonlijke gegevens en middelen, en bijvoorbeeld hun voorkeuren of toestemming beheren. Nu het eIDAS 2.0-framework steeds concreter wordt, kunnen we onze kennis ook in dat domein toepassen.”
Het Identity-team in Brussel helpt organisaties bij het verbeteren van gebruikerservaringen op basis van digitale identiteit. Het team werkt samen met zowel de publieke als de private sector en ondersteunt zelfs de Europese Commissie bij het wetgevingsproces. En het werk blijft niet beperkt tot het Europese kader, benadrukt Joran. “Ik heb regelmatig gesprekken met contacten in Aziatische landen zoals Japan en Singapore, maar ook met mensen in Australië, de VS en India. Zij kijken allemaal naar Europa en hoe wij digitale identiteit ontwikkelen.”
De locatie van het team in Brussel speelt hierin een belangrijke rol, voegt Joran toe. “België is een van de pioniers op het gebied van burgeridentiteit.” In 2003 introduceerde België de eID: een elektronische identiteitskaart met een chip die niet alleen veilige authenticatie mogelijk maakt, maar ook gratis gekwalificeerde elektronische handtekeningen biedt aan burgers. Hiervoor was echter nog steeds middleware nodig. Daarom lanceerde in 2017 een consortium van vier grote Belgische banken en drie telecombedrijven een digitale identificatie-app waarmee Belgische burgers kunnen inloggen bij de overheid, banken, verzekeraars en andere private bedrijven. De app, genaamd Itsme, maakt het mogelijk om identiteitsgegevens te delen, betalingen te bevestigen en digitaal te ondertekenen met eIDAS-gekwalificeerde elektronische handtekeningen – volledig mobiel, zowel bij publieke als private organisaties.
Burgeridentiteit & de groeiende rol van de private sector
In tegenstelling tot Nederland heeft België al ervaring met het naast elkaar bestaan van twee afzonderlijke digitale identiteitsmethoden: een ontwikkeld door de overheid en een door de private sector. De komende jaren zullen we dit steeds vaker zien, zegt Joran. “Het concept van burgeridentiteit ontwikkelt zich in een razend tempo, niet alleen door Europese wetgeving, maar ook door de markt zelf. Organisaties willen klanten niet vragen om gegevens opnieuw te verifiëren via lange of kostbare processen, terwijl die gegevens al ergens anders gevalideerd beschikbaar zijn. We zien echt een groeiende vraag en aanbod vanuit de private sector op dit gebied.”
Organisaties worden zich steeds meer bewust van het feit dat digitale identiteit niet alleen binnen het cybersecuritydomein valt, legt Joran uit. “We zijn op een punt waarop iedereen het belang kent van veilige wachtwoorden, multi-factor authenticatie en andere basisprincipes van cyberhygiëne. Dat deel – veilig inloggen op accounts – hebben we onder de knie. De focus verschuift nu steeds meer naar het ondersteunen van de kernactiviteiten: het verbeteren van klantreizen door middel van digitale identiteit. eIDAS 2.0 gaat over veel meer dan alleen inloggen en roept vragen op zoals: Hoe gaan we om met identiteit? Wie krijgt toegang tot wat? Hoe maak ik processen zo eenvoudig en veilig mogelijk?”
Digitale identiteit als onderdeel van bedrijfsbeheer
Dit soort gesprekken worden steeds vaker mogelijk nu het concept van digitale identiteit zich uitbreidt, zegt Joran. “Digitale identiteit is niet langer een op zichzelf staand concept, maar kan allerlei verschillende datapunten bevatten. Naast je naam en adres kun je bijvoorbeeld ook bewijs van inkomen delen, aantonen dat je een geregistreerde arts bent of dat je een universitair diploma hebt behaald. Deze brede beschikbaarheid van attributen maakt veel meer toepassingen mogelijk, vooral in de private sector.”
Toch brengt deze uitbreiding ook een verschuiving in de benadering van digitale identiteit met zich mee, voegt Joran toe. “Traditioneel viel identiteit altijd binnen het cyberdomein. Maar het doel van digitale identiteit is niet om simpelweg alle beveiligingsrisico’s zo goed mogelijk te blokkeren. Het doel is om ervoor te zorgen dat bedrijfsprocessen veel efficiënter verlopen. Dat je bij een nieuwe baan vanaf dag één de juiste toegang hebt tot de juiste bronnen. Dat je ‘s ochtends op kantoor direct toegang hebt tot alles wat je nodig hebt – en niet meer dan dat. Digitale identiteit is niet alleen een technische oplossing, maar een instrument om het hele proces te verbeteren.”
Dit kan ook betekenen dat, als identiteit of cyberbeveiliging niet tot je kernactiviteiten behoort, het slimmer is om deze processen uit te besteden, zegt Joran. “Voor organisaties wordt het steeds belangrijker hoe ze omgaan met klantgegevens, identiteiten en processen. Elk ziekenhuis, elke retailorganisatie, elke luchtvaartmaatschappij zit op een enorme hoeveelheid klantgegevens. Zou het niet mogelijk zijn om dit op zo’n manier uit te besteden dat klanten hun eigen gegevens kunnen beheren, in plaats van dat grote organisaties deze bezitten en telkens opnieuw moeten verifiëren?”
Ruimte voor broker-oplossingen
Gezien het feit dat een ecosysteembenadering nodig is waarbij veel belanghebbenden samenkomen, verwacht Joran veel ruimte voor zogenaamde broker-oplossingen of zelfs broker-wallets. “Als Nederlandse bank wil ik bijvoorbeeld alle soorten identiteitsmethoden kunnen accepteren, niet alleen DigiD, maar ook een Belgische eID, Itsme en elke andere nieuwe wallet-oplossing. Idealiter maak je als bank één verbinding met die broker-oplossing, en regelt die broker-oplossing vervolgens op de achtergrond al die verschillende verbindingen voor je. En als er een nieuwe bron wordt toegevoegd of verdwijnt, hoef je als bank eigenlijk nauwelijks iets te veranderen in je eigen applicaties. Dat is dus veel eenvoudiger dan alles zelf doen.”
Deze broker-oplossingen hoeven zich niet te beperken tot de financiële sector, merkt Joran op. Broker-oplossingen kunnen een optie zijn voor veel verschillende sectoren, waardoor digitale identiteit toegankelijker wordt voor veel meer organisaties.
Wel is het belangrijk om onderscheid te maken tussen de high-security of high-level use cases en de low-level of substantial-level use cases, voegt Joran toe. “Voor het openen van een bankrekening of het annuleren van vliegtickets heb je simpelweg een hoog betrouwbaarheidsniveau nodig: deze organisaties moeten er absoluut zeker van zijn dat jij bent wie je zegt dat je bent. Voor voetbalwedstrijden of concerten is een lager betrouwbaarheidsniveau wellicht voldoende. Dat roept de vraag op: gaan we verschillende apps gebruiken voor verschillende soorten attributen? Hoewel dat privacyvoordelen met zich meebrengt – gebruikers kunnen er de voorkeur aan geven om verschillende attributen in verschillende wallets op te slaan – kan het ook inefficiënt zijn. Dit zijn belangrijke vragen die beantwoord moeten worden terwijl we de EUDI Wallets in heel Europa uitrollen.”
Vooruitgang boeken met digitale identiteit
De veranderingen die eIDAS 2.0 met zich meebrengt, zijn niet eenvoudig. Er moeten veel beslissingen worden genomen, proeven worden uitgevoerd en technische problemen worden opgelost, waardoor het even zal duren voordat het systeem volledig operationeel is. Toch ziet Joran een beweging in de juiste richting.
“In de afgelopen tien jaar hebben we echt een evolutie gezien in de manier waarop overheden denken over digitale identiteit. Ze begrijpen steeds beter dat het operationele aspect van digitale identiteit misschien geen kerntaak voor hen zou moeten zijn. Daardoor is er meer ruimte ontstaan voor private aanbieders op de markt. En ik denk dat dit echt heeft bijgedragen aan de adoptie van digitale identiteit, het verlagen van kosten en het vergroten van het vertrouwen van burgers.”
Tijd om aan de slag te gaan
Met de groeiende rol van de private sector binnen burgeridentiteit, liggen er volgens Joran veel kansen. Maar waar begin je?
“Mijn advies is altijd: gewoon beginnen. Ik zie veel organisaties die om zich heen kijken en denken: moeten we hier vandaag mee starten? En als iedereen op elkaar wacht, duurt het alleen maar langer. Er is altijd iemand die de eerste stap moet zetten. Ja, er kunnen nog afspraken ontbreken over veiligheid of interoperabiliteit, maar in de meeste gevallen kunnen organisaties alvast belangrijke voorbereidingen treffen.”
Bovendien is het belangrijk te beseffen dat digitale identiteit niet alleen om technologie draait, zegt Joran. “Organisaties moeten vanuit een businessperspectief kijken naar de voordelen die te behalen zijn. Pas daarna kunnen we de technische obstakels en oplossingen bekijken. En dit soort trajecten hoeven geen twee of drie jaar meer te duren. Momenteel werken we aan snelle, kortlopende projecten waarmee we een werkbare oplossing met basisfunctionaliteiten – een MVP – snel operationeel kunnen maken. Zo krijgen mensen direct het gevoel van werken met deze oplossingen en zien ze meteen de voordelen. Op deze manier kunnen we een deel van het potentieel van digitale klantidentiteit en eIDAS 2.0 ontsluiten.”
