7min

Marcel Wendt, oprichter van Digidentity, wil graag weten hoe ver de mogelijkheden reiken van de mede door zijn bedrijf ontwikkelde digital identity wallet. Daarom doet hij mee aan een Europees pilotproject. “Die wallet, die komt er. En bedrijven moéten meedoen.”

Wie als gast incheckt bij een hotel, moet doorgaans een paspoort of ander ID-bewijs laten zien. De receptionist maakt er vaak ook nog eens een kopie van. En dat terwijl het hotel de meeste info op het paspoort niet eens nodig heeft. Volgens Marcel Wendt, oprichter van Digidentity, kan dit stukken veiliger en privacybewuster. De oplossing waar hij met zijn bedrijf aan werkt? Een digitale portemonnee, eentje die je alleen op je telefoon hebt en waarmee je enkel dié info deelt die op een bepaald moment nodig is.

“De technologie achter een dergelijke wallet stelt benodigde gegevens beschikbaar via een soort ‘need-to-know principe’”, legt Wendt uit. “Die wallet van ons is zo ontworpen dat het heel selectief gegevens vertrekt. Hoeveel? Het minimale dat nodig is om aan wettelijke of andere verplichtingen te voldoen. Niet meer en niet minder.”

“Het is dus niet een soort Europese digitale identiteit, zoals sommigen vrezen. Dat al onze gegevens in Brussel liggen opgeslagen. Het gaat er juist om dat je gegevens alléén in de wallet op je telefoon zitten en niet in een centrale database.”

Groeiend bewustzijn

Het beschermen van persoonlijke informatie staat bij steeds meer ‘gewone’ Nederlanders op het netvlies. Het CBS becijferde dat 89 procent van de bevolking in 2023 maatregelen heeft genomen om persoonlijke gegevens op internet te beschermen, in 2021 was dat nog 82 procent. Daarmee is Nederland Europees koploper. In dit geval gaat het overigens vooral om profielgegevens en berichten op sociale media.

Recent eigen onderzoek door Digidentity laat een ander beeld zien. Daaruit komt naar voren dat slechts 27 procent van de Nederlanders serieuze stappen onderneemt om z’n gegevens veilig te houden. Denk aan multifactor-authenticatie via biometrische of vingerafdrukscans. De graadmeter waarlangs Digidentity de gemiddelde internetgebruiker legt, is dan ook een stuk strenger dan die van het CBS.

Niet meer dan terecht, vindt Wendt. Kwaadwillenden kunnen immers met hele kleine snippers informatie omtrent je identiteit fraude plegen. “Neem beveiligingsvragen als ‘Wat is de meisjesnaam van je moeder?’ Je gelooft het niet, maar er zijn nog steeds bedrijven die daarop vertrouwen. Zo lek als een mandje. Als je als cybercrimineel een beetje Facebook-onderzoek doet, of op een LinkedIn-profiel van je slachtoffer rondneust, heb je zulke info binnen no-time opgevist.”

 “Wij onboarden dagelijks zo’n 8.000 personen op onze platforms”, vervolgt hij. “We zien daar geregeld pogingen om je aan te melden onder een andere identiteit, bijvoorbeeld door het gebruik van valse paspoorten. Ze komen er allemaal niet door, maar ze proberen het wel.”

Europees pilotproject

Digidentity maakt samen met 41 partners en 28 associated partners uit de hele EU en enkele andere Europese landen (bedrijven, overheden en non-profits) deel uit van het EU Digital Identity Wallet Consortium. Dit is één van de vier pilotprojecten die de Europese Commissie is gestart om de toepassing van een digitale portemonnee te testen volgens de specificaties die door de commissie zijn vastgelegd. De pilot heeft duizend deelnemende EU-burgers die de wallet de komende tijd gaan gebruiken en loopt tot volgend jaar. Dan zou ook de wetgeving in werking moeten treden waarvoor het onderliggende framework is ontwikkeld.

In het voorbeeld van het hotel komt de identificatieplicht voort uit wetgeving. In Nederland zijn hotels en andere verblijven verplicht de naam, woonplaats en het type ID van hun gasten te registreren. Maar je burgerservicenummer is niet nodig, terwijl deze wél terug te vinden is op een paspoort of identiteitskaart. “Al die ongebruikte persoonlijke gegevens die in archieven en op gegevensdragers rondslingeren, werken in het slechtste geval fraude in de hand”, waarschuwt hij.

Wendt kiest het hotelvoorbeeld niet voor niets. De pilot waar zijn bedrijf aan meedoet, richt zich met name op de use cases van reizigers, bijvoorbeeld voor het boeken van vluchten en hotelovernachtingen en het doen van grensoverschrijdend betalingsverkeer. Onder andere VISA is partner, evenals Amadeus, leverancier van technologische diensten voor de reis- en toerismebranche. Het Zweedse Bolagsverket (enigszins vergelijkbaar met de Nederlandse Kamer van Koophandel) is penvoerder van de pilot waar Digidentity aan meedoet.

Andere pilotprojecten ten behoeve van de digitale portemonnee richten zich op online aankopen, overheidsdienstverlening, bankieren en authenticatie van gevoelige documenten als diploma’s.

Selectief gegevens verstrekken

Los van de specifieke use cases die ‘zijn’ pilot onderzoekt, ziet Wendt nog veel meer voordelen: “Wanneer je een auto huurt, of drank koopt, moet de verhuurder of slijter weten dat je oud genoeg bent. Maar allerlei andere informatie hebben ze helemaal niet nodig. Niet eens je precieze geboortedatum. Ze willen je geen verjaardagskaartje sturen, ze willen gewoon weten dat je de juiste leeftijd hebt. De enige noodzakelijke info is dus ‘deze persoon is oud genoeg’.”

“Bij de slijter precies hetzelfde. Waarom zou die moeten weten hoe je heet? Deze info staat allemaal op je ID-bewijs. Met de wallet beperk je dus de toegang van derden tot jouw persoonlijke informatie, veel meer dan met fysieke bewijzen mogelijk is.”

“Bovendien hoeft de caissière zo ook niet meer te hoofdrekenen op basis van je geboortedatum wat je precieze leeftijd is”, grapt hij. “Dat maakt het allemaal toch een stukje veiliger en minder foutgevoelig.”

Decentrale technologie

De wallet deelt via een security token beperkt gegevens met officiële instanties, winkels, hotels of andere partijen. In het geval van een webwinkel scan je een QR-code met je wallet. Dat stelt de winkel in staat om de benodigde betaalgegevens op je telefoon te lezen (en ook alleen die specifieke informatie). Er wordt geen informatie elders opgeslagen, de bron van de gegevens zit alléén in je telefoon. Dat voorkomt dat bijvoorbeeld je bankrekeningnummer of creditcardgegevens in een externe database terecht komen.

“De techniek is decentraal, in plaats van federatief zoals bijvoorbeeld bij DigID het geval is. Dat betekent dat jouw persoonsgegevens alleen op je telefoon staan en niet ergens in een database. Hoe minder data in zulke databases zit, hoe minder er gestolen kan worden.”

Digidentity is één van de weinige partijen in Nederland die e-herkenningsoplossingen op niveau 4 mag leveren. Dit is het hoogste niveau voor het verwerken van zeer gevoelige informatie, of fraudegevoelige transacties. “We zijn bovendien de enige partij in Nederland met wiens technologie je gebruikers compleet remote mag onboarden.” Waarmee Wendt bedoeld dat de authenticatie van gebruikers helemaal op afstand kan. “Met de techniek van onze concurrenten is het noodzakelijk dat gebruikers aanvankelijk nog een face-to-face afspraak maken met de betreffende instantie.”

Wallet straks verplicht voor bedrijven

Precies deze expertise en betrouwbaarheid hoopt Digidentity mee te nemen het consortium in. “Dat stuk hopen we natuurlijk te hergebruiken in deze pilot, evenals qualified cloud signing, een manier van digitaal ondertekenen die rechtsgeldig is in de gehele EU.” Onder andere Adobe Acrobat Sign en DocuSign gebruiken deze mede door Digidentity ontwikkelde technologie.

Bedrijven, waaronder banken maar ook techreuzen als Apple, Microsoft, Meta en Google, moéten aanmelden via de wallet straks mogelijk maken. Hierdoor gaan die laatsten in theorie een heleboel gebruikersdata mislopen. Het zal niet de énige manier zijn om je ergens voor aan te melden of een aankoop te doen, en bovendien zijn EU-burgers volgens Wendt straks niet verplicht de wallet te gebruiken, maar overheden moeten de mogelijkheid wél aanbieden.

Hij voorspelt ook dat er prikkels zullen komen om zoveel mogelijk burgers richting de wallet te sturen. “Bijvoorbeeld dat het je wat geld gaat kosten als je buiten die wallet om wilt werken, en dat het anders gratis is.” De bedoeling is overigens niet dat burgers richting een wallet worden ‘gepest’, maar vooral om de data-verzamelwoede van bedrijven enigszins te beteugelen en hen tegelijk in staat te stellen makkelijker te voldoen aan Know Your Customer (KYC)-wetgeving.

Niet voor het geld meedoen

Volgens Wendt doet zijn bedrijf in eerste instantie niet voor het geld mee aan de pilot. “Je moet een enorme administratie bijhouden om elk uurtje te verantwoorden. En dan krijg je nog maar vijftig procent van je inzet betaald. Soms denk ik, je kunt het beter gratis doen.” Maar voor Digidentity betreft de deelname dan ook vooral een soort verkenning van zowel de limieten van de technologie, als de expertise van deelnemende Europese concurrentie.

“Het is ook een praktische verkenning. Hoe werkt de interoperabiliteit wanneer het gebruik zich over meerdere landen uitstrekt? Ik beschouw deze pilot voor ons als succesvol wanneer we straks weten dát het kan. En dat de deelnemende eindgebruikers ervan overtuigd zijn dat ze er wat aan hebben.”

Over Digidentity

Digidentity biedt oplossingen voor e-herkenning, digitale handtekeningen, identiteitsverificatie en -validatie en authenticatietechnologie. Het bedrijf is partner van Adobe op het gebied van e-signing en rekent ASR en Achmea onder zijn klanten. Het leverde expertise en technische infrastructuur tijdens de ontwikkeling en implementatie van DigiD, het digitale identificatiesysteem van de Nederlandse overheid. Digidentity Wallet, Het eigen platform, heeft wereldwijd zo’n 25 miljoen gebruikers geverifieerd.

Het bedrijf is een Qualified Trust Service Provider (QTSP) en is één van de negen Nederlandse organisaties op de European Trusted List (EUTL) van de Europese Commissie. De diensten van het bedrijf zijn eIDAS (Electronic Identification And Trust Services) -compliant. Het is daarmee geautoriseerd voor het leveren van oplossingen voor elektronische handtekeningen en verzegeling volgens een reeks afspraken die de lidstaten van de EU hebben vastgelegd.

Lees ook: EU vernieuwt eIDAS met wet waarmee lidstaten internetsessies kunnen volgen