*) Deze column verscheen eerst zaterdag 24 februari 2018 in Het Financieele Dagblad
Niet op het idee achter self-sovereign identity overigens: wie kan er nou tegen zijn dat burgers baas over hun eigen identiteit zijn? Sterker nog: dat is iets waar ik zelf al jaren voor pleit. Echter: het concept gaat veel verder dan de simpele mogelijkheid om zelf, met eigen middelen, aan te kunnen tonen wie je bent. En de blockchain heeft er geen spat mee te maken.
Identity management, het beheren van je (online) identiteit, heeft als doel de toegang tot online diensten op een veilige en gebruikersvriendelijke manier te regelen. De meest gebruikersvriendelijke manier zou zijn om één site te laten controleren of je inderdaad bent wie je zegt dat je bent, en dat die je vervolgens toegang geeft tot al je online diensten.
Deze vorm is erg populair. Facebook Connect maakt het mogelijk om met je Facebook-account op allerlei diensten (zoals Spotify) in te loggen. En via DigiD kunnen alle Nederlanders inloggen op MijnOverheid, hun zorgverzekeraar, etc. Maar met deze vormen van identity management geef je als gebruiker alle controle uit handen.
Veel meer persoonlijke data…
Het is echter niet alleen belangrijk om te controleren of iemand inderdaad is wie hij zegt dat hij is. Mijn identiteit is veel meer dan alleen mijn Facebook-accountnaam of mijn burgerservicenummer. Mijn identiteit is een grote verzameling van persoonlijke gegevens, die afhangt van de context waarin ik mij bevindt, en die niet alleen door mijzelf bepaald wordt, maar ook door anderen. Ik kan mijzelf een Nederlander vinden, of zeggen dat ik afgestudeerd ben. Maar anderen zullen mij niet zomaar op mijn blauwe ogen geloven. En het feit dat ik, bijvoorbeeld, net aan een tumor ben geopereerd, is niet iets wat ik noodzakelijkerwijs deel met mijn collega's.
Een privacyvriendelijke manier om deze veel complexere, rijkere, identiteit te beheren is gebaseerd op attribute based credentials. Je kunt die credentials zien als de digitale variant van je personeelspas, bibliotheekkaart, rijbewijs of bonuskaart die je zelf bewaart (beheert!) in je portemonnee. Afhankelijk van de context laat je een bepaald pasje zien, bijvoorbeeld om aan te tonen dat je lid van de bibliotheek bent, of dat je ouder bent dan 18.
Omdat de credentials uitgegeven zijn door een betrouwbare partij, en voorzien zijn van echtheidskenmerken, worden ze geloofd. De eerste ideeën voor een digitale variant bestaan al ruim dertig jaar, en kant-en-klare implementaties hiervan zijn er al. Die zijn bovendien zo privacyvriendelijk dat niemand kan zien wanneer welke credential waar gebruikt wordt.
…maar geen blockchain
Hier komt geen blockchain bij kijken. Sterker nog, de blockchain als publiek register van alle identiteiten en credentials, en het gebruik daarvan, zou uitermate schadelijk zijn voor de privacy: omdat het publiek is, ziet iedereen wat er gebeurt. Vandaar dat alle toepassingen van blockchain voor identity management grote moeite doen om al die gevoelige informatie alsnog te verbergen. Alsof de blockchain eigenlijk een blok aan hun been is.... Je zou haast gaan denken dat ze de blockchain alleen maar als buzzword gebruiken om op de hype mee te liften.
Self-sovereign identity? Ja! Maar laat de blockchain er buiten alsjeblieft.