Paypal heeft vandaag aanpassingen aan de gebruikersovereenkomst bekend gemaakt. Opvallendste voor mij was de toevoeging van “PayPal als inlogmethode”, oftewel, PayPal als identity provider. PayPal is overigens al langere tijd zich aan het positioneren als identity provider. “PayPal als inloginmethode” is erg vergelijkbaar met hoe Facebook Connect of andere social logins werken, je logt in bij een wesite van een derde partij door op een button te klikken die je browser redirect naar bijvoorbeeld Facebook waar je inlogt met de gebruikersnaam/wachtwoord die je gebruikt voor Facebook. Qua user experience en werking niet heel veel anders dan DigiD overigens. Geen nieuwe wachtwoorden voor elke site, minder gedoe met registreren etc. Voor de techies: PayPal gebruikt OpenID Connect hiervoor, DigiD gebruikt SAML.

Er is een mijn inziens groot verschil tussen ‘gewone’ social login en PayPal als inlogmethode: PayPal heeft de identiteit van de gebruiker geverifieert. PayPal is een bank en verifieert vanwege fraude risico en wetgeving (know-your-customer) wie haar gebruikers zijn. En hoeveel bijvoorbeeld Facebook ook weet van haar gebruikers door berichten, vrienden etc te analyseren, ze hebben niet geverifieerd wat de naam, bankrekeningnummer etc is. Vanzelfsprekend combineert “Log in with PayPal” goed met ook betalen met PayPal, met name een kans voor webshops (mogelijk ten koste van iDeal).

Banken zijn eigenlijk erg voor de hand liggende kandidaten om als identy provider op te treden en in sommige landen doen ze dit ook (bv in Noorwegen en Zweden met BankID). Ik zeg hier niks nieuws, ook in Nederland wordt al flink wat jaren gesproken met en over banken als identity providers, onder meer in het cidSafe project, eHerkenning, ID Verzekerd (van SIVI/verzekeraars) en het eID stelsel.

Ik persoonlijk blijf van mening dat Nederlandse banken kansen laten liggen voor innovatieve dienstverlening op het gebied van digitale identiteiten. Niet dat het een triviale beslissing is om identity provider te worden, onder meer business model, market entry, privacy, trust, beschikbaarheid en beveiliging moeten goed over nagedacht zijn. Maar blijkbaar ziet PayPal het wel zitten. En misschien helpt dat om wat meer urgentie te creëren bij de Nederlandse banken, het lijkt nog niet te laat om bijvoorbeeld met het eID stelsel mee te doen.