Privacywetgeving staat alles behalve stil. Waar je als organisatie vandaag compliant bent, kan dat over een aantal weken weer anders zijn. Als organisatie blijf je hoe dan ook verantwoordelijk voor het beschermen van data van werknemers en klanten. Dat is makkelijker gezegd dan gedaan. Organisaties hebben veel applicaties in bezit waar klantdata wordt verwerkt of opgeslagen. Al die applicaties moeten compliant zijn. Daarnaast is veel Europese data in handen van Amerikaanse (cloud)bedrijven, wat jurisdictie-uitdagingen met zich meebrengt en goede databescherming ingewikkelder maakt. Een belangrijke zorg is dat een klein aantal technologiebedrijven enorme hoeveelheden gebruikersgegevens beheren. En met zoveel gebruikers en zoveel informatie hebben het beleid en de acties van deze organisaties een aanzienlijke invloed. Met self-sovereign identities (SSI) maken we hier een eind aan. Wat SSI precies inhoudt en hoe het werkt, lees je in deze blog.
Digitale soevereiniteit
De privacyzorgen die we vandaag de dag kennen, hebben geleid tot het ontstaan van het concept digitale soevereiniteit. Dit gaat om de controle over je eigen digitale omgeving, ofwel over je eigen data en de technologieën die je gebruikt. Een belangrijk onderdeel van digitale soevereiniteit, zijn digitale identiteiten zoals je DigiD. Sterker nog, digitale identiteiten zijn de enige échte manier van beveiliging en toegangscontrole. Maar de manier waarop we nu omgaan met digitale identiteiten en hoe we gebruikerstrajecten managen, creëren veel uitdagingen. Zowel voor individuen als voor organisaties. Denk aan registratiemoeheid bij klanten die zich bij elke actie opnieuw moeten identificeren en bedrijven die moeten werken met onjuiste en verouderde klantdata. Om dit soort uitdagingen te tackelen, is het concept van self-sovereign identities ontstaan dat voortborduurt op digitale identiteiten zoals we ze nu kennen.
SSI-workflow
Een self-sovereign identity is een architectuur of digitaal ecosysteem voor het beheer van digitale identiteiten. Hierin zijn personen of organisaties volledig eigenaar van hun identiteiten en persoonsgegevens. In de SSI-workflow zijn er altijd drie participanten:
- De houder: de eigenaar (individu of organisatie) van de digitale identiteit en de specifieke informatie. Deze informatie wordt opgeslagen in de vorm van verifieerbare gegevens.
- De uitgever: de autoriteit die de verifieerbare gegevens uitgeeft.
- De verificateur: de partij die de gegevens nagaat. Dit kan een organisatie zijn zoals een bank, een retailer of een werkgever.
In de kern van een self-sovereign identity ligt een digital wallet, bijvoorbeeld geïnstalleerd op je telefoon. Hier sla je als houder jouw persoonlijke gegevens in op. Die gegevens worden geverifieerd en uitgegeven door de uitgever. Dat zijn bijvoorbeeld autoriteiten, instituties en bedrijven die betrouwbare uitgevers zijn van identiteitsbewijzen. Jij als houder slaat dit vervolgens op in je digital wallet. Om die gegevens te kunnen gebruiken, speelt de verificateur, zoals een bank, een rol. Zij verifieert de gegevens uit jouw wallet wanneer je bij de bank een actie uitvoert. Dat is de kern van het SSI-verhaal: als houder kies je zelf of je de verificateur toegang verleent tot de gegevens in jouw digital wallet, telkens wanneer daarom wordt gevraagd.
Touwtjes in handen
Het grote voordeel van self-sovereign identities is dat je zelf in controle bent over je gegevens. Jij kiest welke gegevens je onder welke omstandigheden met wie wilt delen. Met deze gedecentraliseerde digitale identiteiten is er geen centrale opslagplaats van gegevens of man-in-the-middle die bijhoudt wie toegang heeft tot een platform of dienst. Jij hebt én houdt de touwtjes in handen. Bovendien brengt SSI gebruiksgemak met zich mee. Het verbindt mensen, bedrijven en machines met elkaar, zonder dat je je als gebruiker bij elk treinkaartje dat je koopt of bij elk hotel waar je incheckt opnieuw moet identificeren. Je trekt nu simpelweg jouw digitale ‘portemonnee’, verleent toegang en beheert zelf alle stappen in je digitale reis zonder onnodig gevoelige gegevens te overhandigen. Makkelijk en databeveiliging en -privacy zijn zo veel beter gewaarborgd.
De weg voorwaarts
Het momentum voor self-sovereign identities neemt toe. Wanneer privacy op het spel staat, geeft SSI mensen weer controle over hun persoonlijke gegevens. En ook bedrijven hebben er baat bij. Zij voldoen makkelijker aan privacywet- en regelgeving zoals de AVG en verbeteren tegelijkertijd de gebruikerservaring van klanten. Maar het verhaal van SSI staat niet op zichzelf. Op weg naar een brede invoering van SSI zijn nog verschillende obstakels te overwinnen. Niet alleen moet de nodige infrastructuur opgezet en digital wallet ontwikkeld worden, ook hebben we te maken met regelgevingskaders, gegevensversleuteling en algemene voorlichting van burgers. Kortom, we zijn er nog niet. Maar voor een op privacy gefocuste gebruikerservaring, zijn SSI’s dé weg vooruit.
Dit is een ingezonden bijdrage van Thales. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.
20 uur geleden
