VP&P: digitale identiteiten betrouwbare API of me snel nodig - VP&P
Voogt Pijl & Partners
Search Icon
×

Digitale identiteiten: betrouwbare ‘API of me’ snel nodig!

Digitale identiteiten: betrouwbare ‘API of me’ snel nodig!


Onze digitale identiteit wordt steeds belangrijker, maar we gaan er nogal slordig mee om. Overal laten we kruimels achter van onze digitale identiteit. We kiezen primair voor gemak en zijn ons onvoldoende bewust van de risico’s. Overheid en bedrijfsleven moeten samen snel een veilige digitale identiteit creëren, een betrouwbare ‘API of me’ voor dagelijks gebruik in de digitale wereld. En consumenten moeten beter worden voorgelicht over de risico’s van misbruik van digitale identiteiten.

Digitale wereld creëert dikke digitale sleutelbos

De digitale wereld heeft ons leven zoveel makkelijker en sneller gemaakt. Met één zoekopdracht toegang tot heel veel informatie, met een paar klikken een mandje met artikelen geselecteerd, betaald en binnen 24 uur ontvangen. Daarvoor creëren we een digitaal identiteitsbewijs bij bedrijven, een persoonlijk account dat meestal beveiligd is met een wachtwoord. Dat persoonlijke account fungeert bij het volgende digitale bezoek aan dat bedrijf als sleutel om snel en gemakkelijk toegang te krijgen tot hun dienstverlening.

Een intensief digitaal leven laat een breed spoor achter aan digitale identiteitsbewijzen, bij verschillende bedrijven. Feitelijk creëren we een dikke bos digitale sleutels, één per bedrijf. Die veelheid aan digitale sleutels is onhandig en onveilig. Onderzoeken tonen aan dat de websites van veel bedrijven ondermaats beveiligd zijn en dat veel gebruikers wachtwoorden kiezen die makkelijk te hacken zijn. Gelukkig zijn er oplossingen ontwikkeld om via een soort mastersleutel toegang te krijgen tot de dienstverlening van bedrijven, zonder een specifiek identiteitsbewijs per bedrijf te maken. Bekende voorbeelden zijn DigiD (overheid), iDIN (banken) en het gebruik van een Facebook account. Helaas werkt niet elke mastersleutel bij elke organisatie. Ook zijn er twijfels over het gebruik van zo’n mastersleutel. Bij het gebruik van een Facebook account als mastersleutel komt Facebook nog meer te weten over iemands digitale leven. Overheid en banken hebben meer ons vertrouwen, maar ook die kunnen ongewenst nog meer zicht krijgen op ons digitale leven. Voorlopig hebben we dus nog te maken met meerdere digitale identiteitsbewijzen per bewoner van de digitale wereld.

Nieuwe technologie vereenvoudigt digitale identiteitscontrole

Met nieuwe technologieën zijn ook nieuwe vormen van identiteitscontrole mogelijk geworden, die gemak en veiligheid vergroten. De vingerafdruk als identificatiemiddel voor smartphones of betalingen is inmiddels ingeburgerd. Gezichtsherkenning en irisscans zijn nieuwe biometrische manieren om mensen digitaal te identificeren. Identificatie op basis van bewegingen en gedrag is de volgende stap.

Om van deze biometrische identiteitsbewijzen gebruik te kunnen maken, moet een initiële scan van bijvoorbeeld vingerafdruk of het gezicht worden gemaakt. Die scan fungeert daarna als de unieke biometrische sleutel / identiteit voor bijvoorbeeld toegang tot een smartphone, goedkeuring van een betaling of toegang tot een ruimte. Gemak is het grote voordeel van biometrische identiteitscontroles: je hoeft geen wachtwoorden te onthouden en je hoeft geen speciaal apparaatje (smartcard, losse scanner, USB stick) mee te nemen.

Gebruik nieuwe technologie is niet risicoloos

Biometrische identiteitscontrole biedt dus gemak, maar is het ook echt veilig? Elke vingerafdruk, elk gezicht en elke iris is uniek. Dat geeft een veilig gevoel. Maar niet alle gescande details worden opgeslagen en gebruikt bij de digitale identiteit. Teveel details gebruiken betekent namelijk dat de vingerafdrukherkenning niet meer werkt bij een sneetje in de vinger. De gebruikte grovere afstelling betekent echter dat er geen 100% garantie is dat jouw biometrische kenmerk uniek is en niet overeenkomt met de kenmerken van iemand anders.

Een ander risico is diefstal. We zijn alert op gestolen wachtwoorden, maar nog niet op gestolen biometrische kenmerken. Worden onze digitale vingerafdrukken en gezichtsscan wel veilig opgeslagen? Een wachtwoord dat gestolen is, kun je veranderen. Dan kan de dief het gestolen wachtwoord niet meer gebruiken om digitaal in te breken. Biometrische kenmerken kunnen echter niet veranderd worden. Een dief kan de digitale identiteit dus blijven misbruiken. Eens gestolen, voor altijd gestolen!

Het namaken van digitale identiteiten is ook een risico. Een gezicht of een iris kunnen immers worden gefotografeerd, een vingerafdruk laat je achter op elk oppervlakte die je aanraakt. Creatieve kwaadwillenden kunnen daarmee een alternatieve digitale identiteit opbouwen. Toekomstig horrorscenario of vandaag al werkelijkheid?

Het gebruik van de nieuwe technologie kent ook maatschappelijke en ethische risico’s. In India hebben al 1.2 miljard mensen een digitaal ‘Aadhaar’ identiteitsbewijs op basis van pasfoto, vingerafdruk en irisscan. Daarmee kun je snel en makkelijk een bankrekening openen, treinkaartjes reserveren, kinderen inschrijven voor een school, etc. Gemak dient de mens. Maar, zonder digitale identiteit zijn arme Indiërs afgesloten van bijvoorbeeld voedselhulp. Ook in Nederland dreigt sociale exclusie als je niet mee wilt of kunt doen met internetbankieren, WhatsApp, etc. Dat buitensluiten van bepaalde groepen is ongewenst.

Digitale identiteiten worden gebruikt voor toegang tot apps of informatie. Mag die identiteit ook gebruikt worden om criminelen en terroristen te identificeren, door gebruik te maken van gezichtsherkenning? Geven wij inlichtingen- en veiligheidsdiensten als AIVD en NSA daarvoor toegang tot onze digitale identiteiten om effectiever onze veiligheid te kunnen bewaken? Wat vinden we van het gebruik van gezichtsherkenning als daarmee specifieke groepen burgers actief in de gaten worden gehouden, zoals sommige overheden al doen? Mogen digitale identiteiten worden gekoppeld aan andere persoonlijke gegevens? Waar ligt de grens tussen gemak, privacy en veiligheid?

Digitale biometrische identiteiten vereisen dus grote zorgvuldigheid, zowel qua opslag, gebruik als ontwikkeling van de benodigde hardware en software. Misbruik ligt op de loer, elke digitale dag.

Overheid en bedrijfsleven moeten samen volgende stap zetten en snel

De digitale identiteit wordt dus steeds belangrijker en vraagt betere oplossingen. Zoals deskundigen Katryna Dow en Chris Wood het duidelijk formuleerden: “We moeten naar een ‘API of me’. Ik ben eigenaar van mijn digitale identiteit en persoonlijke gegevens. Ik wil een veilig beheer van die informatie. Ik wil beslissen aan wie ik die gegevens laat zien en waar ik een kopie wil achterlaten.”

De Cyber Security Raad heeft recent een advies uitgebracht aan het kabinet: “naar een veilig eID-stelsel”. In dat advies wordt de digitale identiteit als cruciale factor gedefinieerd voor een veilige, betrouwbare en vertrouwde digitale infrastructuur. Daarvoor is intensieve samenwerking nodig tussen de publieke en private sector, onder toezicht van de overheid:

  • definiëren van een formele digitale identiteit, die net als het fysieke paspoort overal toegang geeft en adequaat beveiligd is. Overheidsinitiatieven als DigiD en vergelijkbare initiatieven uit het bedrijfsleven als iDIN moeten dan worden samengevoegd
  • één of beperkt aantal onafhankelijke uitvoeringsorganisaties die digitale identiteiten op veilige wijze beheren en het dagelijks gebruik van digitale identiteiten ondersteunen (vergelijkbaar met DigiD en iDIN)
  • samenwerking met FinTechs en BigTechs om de benodigde technologie te integreren
  • aangepaste wet- en regelgeving rond digitale identiteiten, in het verlengde van de privacy wetgeving
  • stimuleren van het geschikt maken van apps en websites van bedrijven om die formele identiteit te kunnen gebruiken
  • permanente intensieve voorlichting aan consumenten en bedrijven.

In de pré-digitale wereld hebben we decennia nodig gehad voor het ontwikkelen van de noodzakelijke wet- en regelgeving, een adequaat wegen- en spoornetwerk, betrouwbare identificatie middelen als paspoorten, ‘genoeg blauw op straat’, voorlichting, etc. Zoveel tijd hebben we niet om de digitale wereld op orde te krijgen. Tools en apps om van het digitale leven te genieten zijn of komen er in overvloed. Digitale bescherming krijgt nog te weinig aandacht. Wel op het gebied van wet- en regelgeving (bijvoorbeeld de Algemene Verordening Gegevensbescherming), maar nog te weinig op het gebied van samenhangende tooling voor grootschalig dagelijkse gebruik. Er is nog veel te doen voordat de benodigde digitale infrastructuur beschikbaar is. Veel elementen zijn er al, maar overheid en bedrijfsleven zullen intensief moeten samenwerken om snel forse stappen te maken. Want het gebruik van internet neemt nog steeds exponentieel toe, met steeds meer slecht beveiligde digitale identiteiten.

Het is tijd voor actie, nu!
Douwe

Douwe van der Meer

Lees meer over Douwe

Volg ons op LinkedIn, regelmatig posten wij updates over onze visie op de sector en over bureauontwikkelingen.