Gepubliceerd op:

Vrijdag 6 mei vond bij SURF in Utrecht de eerste IRMA meeting van 2022 plaats. Hier werden geïnteresseerden bijgepraat over de laatste ontwikkelingen op het gebied van IRMA. Eén van deze ontwikkelingen is dat Signicat, een identity broker, organisaties helpt met de implementatie van IRMA. Dit klinkt als goed nieuws voor de adoptie van IRMA. Anderzijds botst dit volledig met de principes van SSI waar IRMA voor staat. In deze blog bespreek ik de voor- en nadelen.

Self soveign identity (SSI) is een trend die steeds meer aandacht krijgt binnen het landschap van digitale identiteiten. Deze trend gaat over het centraal stellen van het individu  en de wijze waarop hij zijn identiteit en gegevens beheert en deelt. SSI is een tegenreactie op federatieve identiteiten. Federatieve identiteiten brengen het individu gemak doordat ze met één identiteit op meerdere plekken kunnen inloggen. Als gebruiker hoeft hij dus minder verschillende digitale identiteiten te beheren. Dat doet een centrale partij, de identity provider. Nadeel is dat deze partij ziet waar en wanneer het individu inlogt. Op deze manier verzamelen onder andere Google en Facebook veel gegevens over hun gebruikers. SSI is zo ontworpen dat dergelijke identity providers niet meer mee kunnen kijken. IRMA is een typisch voorbeeld van een SSI oplossing. IRMA is een app waarmee je je persoonlijke data kunt verzamelen in de vorm van credentials en als je dat wilt weer kunt delen. IRMA werd ontwikkeld door Bart Jacobs, hoogleraar aan de Radboud Universiteit en wordt tegenwoordig beheert door SIDN. Door de samenwerking met Signicat wordt een nieuwe centrale derde partij geïntroduceerd, die in theorie mee kan kijken wie waar en wanneer inlogt.

De wringende rol van idenitity brokers

Signicat is een identity broker: een partij die zorgt dat het voor dienstverleners (relying parties) makkelijker wordt om verschillende digitale identiteiten te integreren. Het is grofweg te vergelijken met payment service providers zoals Adyen en Mollie die ervoor zorgen dat je bij een webwinkel zelf kunt kiezen of je met iDeal, PayPal of creditcard betaald. Voor de dienstverlener wordt het met behulp van een identity broker makkelijk om meerdere inlogmiddelen aan te bieden. De gebruiker heeft het voordeel dat hij zelf kan kiezen met welke digitale identiteit hij wil inloggen. Vanuit privacyoverwegingen is het een nadeel dat identity brokers van al hun klanten kunnen zien wie wanneer waar inlogt. Signicat geeft aan dat ze deze gegevens alleen doorgeven aan de dienstverlener en zelf geen persoonsgegevens bewaren. Desondanks schuurt dit gevoelsmatig toch met de principes van SSI.

Daarom is het des te verbazender dat juist IRMA de samenwerking aan gaat met een identity broker. Waarom doet IRMA dit dan? De reden is simpel: om de adoptie te verhogen en zo het gebruik van de IRMA wallet te vergroten. Voor dienstverleners is het integreren van IRMA veel werk. Het is dus zeker voor kleinere partijen niet haalbaar om IRMA aan te bieden. Een partij als Signicat neemt veel van dit werk weg. Door met dergelijke partijen samen te werken wordt het voor dienstverleners dus vele malen makkelijker om IRMA te integreren. Voor het volwassen worden van de SSI-markt is dit een essentiële ontwikkeling. Ook geestelijk vader Bart Jacobs gaf aan dat hij bij de samenwerking met Signicat een dubbel gevoel had, maar dat hier een pragmatische keuze is gemaakt.

Richting een volwassen SSI speelveld

Nu biedt Signicat wat betreft SSI wallets alleen IRMA aan. Mijn verwachting is dat identity brokers zoals Signicat, naast IRMA ook andere SSI-wallets aan gaan bieden. Hierdoor kan de eindgebruiker uiteindelijk zelf kiezen welke wallet hij wil gebruiken. En dat komt één van de andere principes van SSI dan juist weer ten goede. Je kunt immers alleen soeverein zijn, als je zelf kunt kiezen welke wallet je wil gebruiken.

Interoperabel landschap

Is er dan geen oplossing waarbij de gebruiker een wallet naar keuze kan gebruiken én identity brokers overbodig zijn? Jawel, hiervoor moet er echter eerst wel een interoperabel SSI landschap ontstaan, waardoor dienstverleners op een gestandaardiseerde manier meerdere SSI wallets kunnen aansluiten (zoals in bovenstaande afbeelding). Momenteel hanteren veel wallets echter nog eigen standaarden. Wel zien we een steeds hogere adoptie van de W3C standaarden voor Verifiable Credentials (VCs) en Decentralized Identities (DIDs). Maar ook deze zijn op verschillende manieren te implementeren, waardoor wallets nog niet direct interoperabel zijn. Hierdoor is de gebruiker momenteel afhankelijk van die ene wallet die door de dienstverlener wordt aangeboden. Je bent als gebruiker dus niet zelf in regie. Dit probleem wordt op veel plekken erkent. Binnen organisaties als MyData krijgt het realiseren van een interoperabel landschap hoge prioriteit . Het zal echter nog een aantal jaren duren voordat we eenmaal zo ver zijn dat alle wallets op een eenduidige, interoperabele manier functioneren. Tot die tijd zijn identity brokers zoals Signicat een tegenstrijdige, maar ook logische oplossingsrichting om een volwassen SSI speelveld te realiseren.