Banken als identityproviders? (BankID en eID Stelsel)

20150402 Banken Als Identiteitsproviders Maarten Wegdam InnoValor1

Op 2 april 2015 was er een PIMN / ECP bijeenkomst over ontwikkelingen op het gebied van eID in Nederland. De zaal bij UL-Transaction security in Leiden zat helemaal vol en er was zelfs een wachtlijst. Ik mocht een perspectief schetsen over waarom banken wel of niet hun digitale identiteiten aan anderen beschikbaar zouden moeten stellen. Oftewel, wel of niet identityprovider worden en dit al dan niet binnen het eID Stelsel doen. De organisator van de bijeenkomst (Jaap Kuipers) had me hiervoor gevraagd omdat ik hiervoor in het cidSafe project (betrouwbare herbruikbare consumenten identiteiten) in 2010 geprobeerd heb hier een win-win tussen met name banken en verzekeraars te vinden. Het idee was een trust framework (afsprakenstelsel) te definiëren waarbinnen consumenten met hun identiteitsmiddel voor online bankieren kunnen inloggen bij een verzekeraar, al dan niet als een “eHerkenning voor particulieren”. Dit is helaas toen niet gelukt. Maar in 2015 is de urgentie toegenomen en het is vrij algemeen bekend dat onder de naam BankID de bancaire sector hier opnieuw mee bezig is. Wel is het te vroeg om vanuit die hoek verdere publieke mededelingen te doen over het hoe en wanneer.

Ik heb op de bijeenkomst een vrij beschouwende presentatie gehouden met, naast wat historie en achtergrond, mijn analyse van de redenen voor banken om wel of niet identityprovider te worden:

Waarom wel? (sterktes en kansen)

  • – kosten identiteit delen met derden
  • Trust – verbreden/verdiepen van de trustrelatie met hun klant
  • USPs – met name dekking van 85% in Nederland van herbruikbare digitale identiteiten vanwege online bankieren (ook internationaal gezien hoog!)
  • MVO – maatschappelijke verantwoordelijk nemen
  • Trend – past in trend van iDeal naar elektronische machtigingen en gegevens verschaffen (Payment Services Directive 2, access to account, dit worden toch verplichtingen is de verwachting). De stap naar ‘officieel’ identityprovider worden is daarmee niet zo groot
  • Afnemer – creëren van een markt waar ze ook afnemer willen zijn (redundantie, consumer onboarding, maar ook meer concurrentie omdat het makkelijker wordt verschillende bankproducten bij verschillende banken af te nemen)

Waarom niet? (risico’s en uitdagingen)

  • Aansprakelijkheid – naar consument en/of dienstverlener
  • Overvolle ICT roadmap – wegens andere innovaties rondom digitalisering, legacy etc
  • Beschikbaarheidseisen – downtime van een identityprovider is nog erger dan van iDeal
  • Risico op reputatie schade – voor gehele bancaire business
  • Privacy – klanten begrijpen het mogelijk niet, met name rondom privacy
  • Extra ‘hoepels’ – banken zijn al druk genoeg met compliance, DNB etc om ook nog aan extra eisen vanuit een afsprakenstelsel te moeten voldoen (incl giv
  • Meer identity theft – bancaire digitale identiteiten worden nog aantrekkelijker voor identity theft (meer kosten om de rat race  te blijven winnen, meer risico’s ook voor hun eigen online bankieren/betalen toepassingen)

Mijn mening is dat er weliswaar risico’s zijn, maar dat de trend (1ct overmaken, PSD2 etc) is dat banken de-facto steeds meer identityproviders gaan worden in één of andere vorm. Door deze rol ‘officieel’  te gaan vervullen levert het financieel ook wat op en draagt het bovendien bij aan het uitbreiden van de trust relatie tussen banken en hun klanten. Deze trust relatie is mijns inziens core business of zou het in ieder geval moeten zijn voor banken om hun relevantie te behouden. Blijft over of banken identityprovider binnen of buiten het eID Stelsel zouden moeten worden, dit is een complexe afweging…

Mijn presentatie is hier te downloaden.

PS Voor het perspectief op banken als identityproviders vanuit een identityprovider die geen bank is, zie deze blogpost van Connectis met daarin m.i. wel wat van dezelfde overwegingen overigens.