Zelf beheerde indentiteit
Soevereiniteit betekent zelfbeschikking. Een staat is soeverein als deze binnen zijn grondgebied het hoogste gezag voert. Het betekent autonoom, onafhankelijk, oppermachtig en onafhankelijk van een hoger gezag. Als individu hebben we recht op zelfbeschikking. Het recht op eigen keuzen en zelfstandigheid, zowel voor het individu als voor het collectief. Het is een element van persoonlijke vrijheid en daarmee een grondslag van de mensenrechten. Slechts af en toe hebben we de overheid nodig, namelijk als je identiteit ontstaat, verandert of eindigt. Hoe ontstaat identiteit? Bij je geboorte krijg je een identiteit via het geboortebewijs. Bij de gemeente waar je geboren bent, vragen je ouders een geboorteakte aan. Het formele bewijs dat je als mens bestaat en bent ingeschreven in de burgerlijke stand. De akte is eigendom van de gemeente en je krijgt hiervan een afschrift of uittreksel. Er is altijd een overheid nodig om een identiteit te krijgen, althans het bewijs dat je formeel bestaat inclusief registratie van wie je afstamt.
Op je geboorteakte staan achternaam, geboortedatum, geboorteplaats, geslacht en de voornaamkeuze van je ouders. Naast je geboorte registreert de overheid ook veranderingen zoals partnerschappen (trouwen en scheiden) of naamswijziging. Bij overlijden moet een overlijdensakte worden gemaakt. Dan eindigt formeel je identiteit. Je identiteit is dus afhankelijk van een overheid. Als je uit een land moet vluchten, kan het zijn dat je niet meer in staat bent je identiteit aan te tonen. De behoefte aan een zelf soevereine identiteit bestaat daarom allang. Kun je als individu zelf verantwoordelijk en eigenaar zijn van je identiteit? Met de komst van digitale identiteiten is de mogelijkheid van een zelfbeheerde identiteit groter geworden. Naast de formele door de overheid vastgelegde identiteit ook je eigen digitale identiteit hebben die je zelf beheert en controleert? Dat je in het voorbeeld van de vluchteling voor je digitale identiteit niet meer afhankelijk bent van de overheid. Maar je de ‘eenmaal gekregen identiteit’ de rest van je leven digitaal meedraagt en overal kunt aantonen.
De definitie van digitale identiteit is ‘de unieke representatie van een subject betrokken bij een online transactie. Een digitale identiteit is altijd uniek in de context van een digitale dienst, maar hoeft het onderwerp niet noodzakelijk in alle contexten uniek te identificeren. Met andere woorden, toegang tot een digitale dienst betekent niet dat de echte identiteit van de proefpersoon bekend is.” (NIST-IDG, 2017). Met de komst van het internet en digitale diensten groeide de behoefte aan digitale identiteiten. Een provider of dienstverlener moet weten wie je bent en je toegangsrechten verlenen tot zijn platform of dienst. Tot op heden vaak gebaseerd op een centrale registratie van een unieke naam en een password.
Die digitale identiteit staat dan opgeslagen bij de betreffende provider. Of men maakt gebruik van een dienstverlener die voor jou je identiteit en password beheert: een identity provider of een identity broker. Jouw digitale identiteit staat ergens centraal opgeslagen en kun je via een veilige inlogprocedure benaderen. De gebruiker legt centraal de authenticatie en inlog-gegevens vast die zijn uitgegeven door verschillende serviceproviders. Het gemak van centrale opslag is gelijk het gevaar: als die centrale plaats wordt gehackt of gegijzeld, ben je al je digitale identiteiten kwijt. En kan een ander zich voor jou uitgeven en in jouw naam handelen.
In een gebruikersgericht model slaat de gebruiker zelf zijn authenticator en inloggegevens, die zijn uitgegeven door verschillende organisaties en serviceproviders, op op een persoonlijk apparaat. Op die wijze heeft de gebruiker volledige controle over zijn gegevens. Audun Josang en Simon Pope presenteerden dit model in 2005 en noemden de hardware die wordt gebruikt om de gegevens op te slaan een ‘Personal Authentication Device’ (PAD). Volgens hen kan de PAD elke hardware zijn die authenticatie vereist zoals een pincode of vingerprint. De gebruiker kan zelf alle gegevens op dit apparaat beheren. Zelfs verschillende digitale identiteiten zijn mogelijk en je kunt selecteren aan welke serviceprovider en in welke vorm een gekozen identiteit bekend moet worden gemaakt. Dit kan zelfs anoniem gebeuren.
Deze in 2005 gepresenteerde oplossing is een zelf-soeverein identiteitsmodel. Met de komst van de mobiele telefoon werd het logisch dat deze PAD met de telefoon wordt geïntegreerd. De wallet als een app op je smartphone die een digitale portefeuille is als veilige persoonlijke opslagplaats. Je krijgt dan de mogelijkheid om een identifier, een authenticator, sleutels, data en verifieerbare referenties te beheren op je persoonlijke telefoon. Volledig beschermd, onder eigen controle met biometrische identificatie. Dan kun je echt je zelf-soevereine identiteit beheren. Los van overheden, tussenpersonen en serviceproviders.
In het zelf-soevereine identiteitsmodel (SSI) is de gebruiker gelijktijdig de beheerder van zijn identiteit en heeft controle over zijn identiteitsgegevens en informatie. In tegenstelling tot centrale of federatieve modellen vereist de SSI-benadering dus geen extra entiteit voor het beheren van die identiteit, de zogenaamde man-in-the-middle. De rol van identiteitsproviders is beperkt tot ‘identiteitsverstrekker’. Zodra een identiteit is geregistreerd en bevestigd, beheer je die identiteit in een eigen digitale repository, bijvoorbeeld als wallet op je mobiele telefoon. Een wallet waarin je je identiteit en inloggegevens bewaart. Zelf beslist wanneer, aan wie en in welke vorm je ze aan anderen presenteert zonder beroep te (hoeven) doen op derde partijen.
Zelf-soevereine identiteit houdt niet in dat je je eigen officiële identiteit kunt bepalen en certificeren. Zolang onze samenleving is gestructureerd via overheidsstructuren die wetten garanderen en vertrouwenskaders beheren, zal een overheidsdienst de uiteindelijke soevereiniteit hebben over de (status van de) identificatie van burgers. Om die formele informatie eenmalig in je wallet op te slaan, moet je jezelf presenteren aan een entiteit die de geldigheid van een referentie of certificaat mag en kan bepalen. Dat kan de overheid, je bank, je school, je werkgever of iedere andere organisatie zijn. Iedereen met wie je digitaal veilig wilt communiceren of waarvan je een certificaat of sleutel wilt of moet hebben. Maar zodra je die identiteit hebt bewezen, kun je die identiteit als individu zelf verder beheren en in je eigen wallet als ‘token’ bewaren; vergelijkbaar met een pas, kaartje, bewijs, bon of certificaat.
Digitale tokens kunnen dus digitale paspoorten, diploma’s, eigendomsbewijzen en bedrijfs-badges zijn. Maar ook munten als dollars, euro’s of crypto-valuta. Als je je digitale activa en inloggegevens aan een derde partij presenteert, bewijs je gelijk het eigendom en hoeft de derde partij geen contact op te nemen met de uitgever om dat te verifiëren. Zeker niet als de oorspronkelijke initiatie van die identiteit ook is opgeslagen in een publiek gedecentraliseerd, onveranderlijk register, zoals een blockchain netwerk.
Elke keer dat tokens worden uitgegeven, registreert de uitgever een cryptografisch bewijs van de uitgifte met tijdstempel en ondertekend met hun elektronische handtekening in een gedecentraliseerd grootboek zoals een blockchain. Deze decentrale digitale grootboeken zijn onveranderlijk; ook wijzigingen worden onveranderlijk geregistreerd en elektronisch ondertekend door de entiteit die deze wijzigt. De digitale activa kunnen zowel in het blockchain-netwerk leven als daarbuiten in onze digitale portemonnee. In beide gevallen onder de volledige controle van de eigenaar. De digitale transformatie geeft on eindelijk werkelijke zelfbeschikking over onze identiteit.
Hans Timmerman