Deze serie van blogs gaat over SSI, ofwel self-sovereign identiteit. In deze blog wordt uitgelegd waarom SSI is ontstaan en hoe digitale identiteit door de jaren heen veranderd is. In de tweede blog focussen we op wat SSI nu precies is. In de derde blog geven twee voorbeelden van use-cases (IRMA en Sovrin) waarbij SSI een belangrijke rol speelt

Elk mens heeft een identiteit: een attribuut of een aantal attributen wat iemand identificeerbaar maakt [bron: https://www.iso.org/obp/ui/#iso:std:iso-iec:24760:-1:ed-2:v1:en]: denk aan je BSN, je geboortedatum of je e-mailadres. Deze identiteiten geven je toegang tot bepaalde faciliteiten. Een fysiek paspoort kan worden gebruikt om je identiteit te verifiëren, wanneer je op reis gaat of een rekening opent. Een college kaart bewijst dat iemand een student of scholier is, zodat je bijvoorbeeld gebruik kan maken van studentenkorting.

Centrale identiteiten

Met de komst van computers en internet, zijn er ook digitale identiteiten ontstaan om mensen toegang te geven tot digitale systemen. Het is begonnen met centrale identiteiten, die nog steeds veel voorkomen. Je hebt hierbij voor elke website, elk systeem, elke instantie een aparte identiteit. Om je identiteit te bewijzen wordt veelal gebruik gemaakt van een gebruikersnaam en wachtwoord. Deze worden meestal eenmalig aangemaakt, via post, e-mail of aan een balie.

Groot nadeel van deze centrale identiteit is dat je er erg veel van verzamelt, vooral door de groei van het internet en sociaal media. Daarbij moet de informatie die gekoppeld is aan een identiteit, zoals adres, e-mail, geboortedatum, dieetwensen, profielfoto, etc., elke keer weer opnieuw ingevuld worden. Niet altijd ideaal, elke keer opnieuw dezelfde data delen. Daarbij moeten mensen veel wachtwoorden onthouden en gaan mensen hun wachtwoord hergebruiken, wat hen kwetsbaar maakt.

central-identity.jpg

Federatieve identiteiten

Om deze nadelen tegen te gaan werden federatieve identiteiten in het leven geroepen. Federaties zijn partijen die tussen de gebruiker en derde partijen in zitten. Deze federatieve identiteit zien we op diverse plekken in het hedendaagse internet: van social media federaties ‘inloggen met Google/Facebook/Spotify’ tot overheid federaties ‘inloggen met DigiD’. Dit betekent dat je als gebruiker gemakkelijk op allerlei plekken, via één federatie, kunt inloggen en je gegevens kunt delen. Het voordeel van dit soort systemen is dat gebruikers alleen de inlogmethodes van een beperkt aantal federaties hoeven te onthouden. Tijdens het inloggen delen federaties een deel van je gegevens: zoals e-mailadres of profielfoto, waardoor je als gebruiker niet telkens opnieuw deze gegevens hoeft door te geven.

Hoewel dit systeem handig klinkt zit er ook een nadeel aan: Je hebt geen zicht en controle over wat er allemaal vanuit de federatie gedeeld wordt met andere websites en systemen.

User-centric identity

Mensen werden steeds privacy bewuster. Daardoor ontstond de behoefte naar identificatievoorzieningen die rekening houden met de privacy van het individu: user-centric identity. De gebruiker staat hierin centraal en bepaalt wat er gebeurt met de data en met wie deze gedeeld mag worden. Een groot deel van de federatieve identiteiten hebben inmiddels de stap richting user-centric gemaakt. Federaties vragen gebruikers nu expliciet om toestemming om (een deel van de) data te delen met een derde partij. Zoals Facebook, die nu duidelijk aangeeft dat je e-mail en profiel foto met LinkedIn gedeeld wordt, als je via Facebook een LinkedIN account aanmaakt [footnote: vlekkenloos is deze openheid echter niet, waardoor Facebook ondertussen wat imago schade heeft opgelopen met betrekking tot hun data sharing beleid. Hier ga ik in deze blog verder niet op in. https://www.bbc.com/news/technology-46618582 ]. Een stap in de goede richting voor regie op persoonsgegevens.

Echter heeft de federatie op deze manier nog steeds controle over de data en speelt zelfs een big brother rol: de federatie kan zien wat een gebruiker doet met zijn account en op welke websites via de federatie worden ingelogd. Daarnaast kun je als gebruiker niet controleren of de federatie niet meer informatie over je deelt.

SSI_blog-deel1-self-sovereign-identity-Innovalor.png

Self-sovereign identity

Self-sovreign identity (SSI) is ontwikkeld om deze nadelen in user-centric identity op te lossen. In SSI staat de gebruiker niet alleen symbolisch centraal, maar daadwerkelijk in het midden, tussen zijn data en de 3de partij. Data gaat bij SSI niet meer met toestemming van de gebruiker van de federatie naar een 3de partij, zoals dat nu gaat met bijvoorbeeld DigiD: je geeft toestemming als gebruiker aan DigiD om jouw gegevens naar de Belastingdienst te sturen. In SSI gaat de data direct naar de gebruiker, en de gebruiker stuur deze door naar een 3de partij. In hetzelfde voorbeeld zou dat betekenen dat de gebruiker zijn gegevens ophaalt bij DigiD, deze zelf opslaat op zijn computer of telefoon en deze vervolgens deelt met de belastingdienst. Met SSI weet de federatie (in dit voorbeeld DigiD) dus niet welke data, wanneer en met welke derde partij (in dit voorbeeld de Belastingdienst) de gebruiker data deelt.

Misschien vraagt u zich nu af: kan ik dan niet de boel besodemieteren als ik SSI gebruik, door de gegevens van DigiD aan te passen voordat ik ze naar de belastingdienst stuur? Nee, dat kan gelukkig niet, maar daarover meer in de volgende blog waarin we kijken naar hoe self-sovreign identity nu precies werkt.