Veilige digitale identiteit vereist publiek-private samenwerking

12 februari 2020 Consultancy.nl

Onze digitale identiteit wordt steeds belangrijker, maar we gaan er nogal slordig mee om. Overal laten we kruimels achter van onze digitale identiteit. We kiezen primair voor gemak en zijn ons onvoldoende bewust van de risico’s. Overheid en bedrijfsleven moeten samen snel een veilige digitale identiteit creëren, een betrouwbare ‘API of me’ voor dagelijks gebruik in de digitale wereld. En consumenten moeten beter worden voorgelicht over de risico’s van misbruik van digitale identiteiten.

De digitale wereld heeft ons leven zoveel makkelijker en sneller gemaakt. Met één zoekopdracht toegang tot heel veel informatie, met een paar klikken een mandje met artikelen geselecteerd, betaald en binnen 24 uur ontvangen. Daarvoor creëren we een digitaal identiteitsbewijs bij bedrijven, een persoonlijk account dat meestal beveiligd is met een wachtwoord. Dat persoonlijke account fungeert bij het volgende digitale bezoek aan dat bedrijf als sleutel om snel en gemakkelijk toegang te krijgen tot hun dienstverlening.

Een intensief digitaal leven laat een breed spoor achter aan digitale identiteitsbewijzen, bij verschillende bedrijven. Feitelijk creëren we een dikke bos digitale sleutels, één per bedrijf. Die veelheid aan digitale sleutels is onhandig en onveilig. Onderzoeken tonen aan dat de websites van veel bedrijven ondermaats beveiligd zijn en dat veel gebruikers wachtwoorden kiezen die makkelijk te hacken zijn. Gelukkig zijn er oplossingen ontwikkeld om via een soort mastersleutel toegang te krijgen tot de dienstverlening van bedrijven, zonder een specifiek identiteitsbewijs per bedrijf te maken. 

Bekende voorbeelden zijn DigiD (overheid), iDIN (banken) en het gebruik van een Facebook-account. Helaas werkt niet elke mastersleutel bij elke organisatie. Ook zijn er twijfels over het gebruik van zo’n mastersleutel. Bij het gebruik van een Facebook-account als mastersleutel komt Facebook nog meer te weten over iemands digitale leven. Overheid en banken hebben meer ons vertrouwen, maar ook die kunnen ongewenst nog meer zicht krijgen op ons digitale leven. Voorlopig hebben we dus nog te maken met meerdere digitale identiteitsbewijzen per bewoner van de digitale wereld. 

Onze digitale identiteit wordt steeds belangrijker

Nieuwe technologie vereenvoudigt digitale identiteitscontrole

Met nieuwe technologieën zijn ook nieuwe vormen van identiteitscontrole mogelijk geworden, die gemak en veiligheid vergroten. De vingerafdruk als identificatiemiddel voor smartphones of betalingen is inmiddels ingeburgerd. Gezichtsherkenning en irisscans zijn nieuwe biometrische manieren om mensen digitaal te identificeren. Identificatie op basis van bewegingen en gedrag is de volgende stap. 

Om van deze biometrische identiteitsbewijzen gebruik te kunnen maken, moet een initiële scan van bijvoorbeeld vingerafdruk of het gezicht worden gemaakt. Die scan fungeert daarna als de unieke biometrische sleutel/identiteit voor bijvoorbeeld toegang tot een smartphone, goedkeuring van een betaling of toegang tot een ruimte. Gemak is het grote voordeel van biometrische identiteitscontroles: je hoeft geen wachtwoorden te onthouden en je hoeft geen speciaal apparaatje (smartcard, losse scanner, USB-stick) mee te nemen. 

Gebruik nieuwe technologie is niet risicoloos

Biometrische identiteitscontrole biedt dus gemak, maar is het ook echt veilig? Elke vingerafdruk, elk gezicht en elke iris is uniek. Dat geeft een veilig gevoel. Maar niet alle gescande details worden opgeslagen en gebruikt bij de digitale identiteit. Te veel details gebruiken betekent namelijk dat de vingerafdrukherkenning niet meer werkt bij een sneetje in de vinger. De gebruikte grovere afstelling betekent echter dat er geen 100% garantie is dat jouw biometrische kenmerk uniek is en niet overeenkomt met de kenmerken van iemand anders.

Een ander risico is diefstal. We zijn alert op gestolen wachtwoorden, maar nog niet op gestolen biometrische kenmerken. Worden onze digitale vingerafdrukken en gezichtsscan wel veilig opgeslagen? Een wachtwoord dat gestolen is, kun je veranderen. Dan kan de dief het gestolen wachtwoord niet meer gebruiken om digitaal in te breken. Biometrische kenmerken kunnen echter niet veranderd worden. Een dief kan de digitale identiteit dus blijven misbruiken. Eens gestolen, voor altijd gestolen! 

Het namaken van digitale identiteiten is ook een risico. Een gezicht of een iris kunnen immers worden gefotografeerd, een vingerafdruk laat je achter op elk oppervlakte die je aanraakt. Creatieve kwaadwillenden kunnen daarmee een alternatieve digitale identiteit opbouwen. Toekomstig horrorscenario of vandaag al werkelijkheid? 

Het gebruik van de nieuwe technologie kent ook maatschappelijke en ethische risico’s. In India hebben al 1,2 miljard mensen een digitaal ‘Aadhaar’-identiteitsbewijs op basis van pasfoto, vingerafdruk en irisscan. Daarmee kun je snel en makkelijk een bankrekening openen, treinkaartjes reserveren, kinderen inschrijven voor een school, etc. Gemak dient de mens. Maar, zonder digitale identiteit zijn arme Indiërs afgesloten van bijvoorbeeld voedselhulp. Ook in Nederland dreigt sociale exclusie als je niet mee wilt of kunt doen met internetbankieren, WhatsApp, etc. Dat buitensluiten van bepaalde groepen is ongewenst. 

Digitale identiteiten worden gebruikt voor toegang tot apps of informatie. Mag die identiteit ook gebruikt worden om criminelen en terroristen te identificeren, door gebruik te maken van gezichtsherkenning? Geven wij inlichtingen- en veiligheidsdiensten als AIVD en NSA daarvoor toegang tot onze digitale identiteiten om effectiever onze veiligheid te kunnen bewaken? Wat vinden we van het gebruik van gezichtsherkenning als daarmee specifieke groepen burgers actief in de gaten worden gehouden, zoals sommige overheden al doen? Mogen digitale identiteiten worden gekoppeld aan andere persoonlijke gegevens? Waar ligt de grens tussen gemak, privacy en veiligheid? 

“Overheid en bedrijfsleven zullen intensief moeten samenwerken voor een veilige, betrouwbare en vertrouwde digitale infrastructuur.”

Digitale biometrische identiteiten vereisen dus grote zorgvuldigheid, zowel qua opslag, gebruik als ontwikkeling van de benodigde hardware en software. Misbruik ligt op de loer, elke digitale dag. 

Overheid en bedrijfsleven moeten samenwerken

De digitale identiteit wordt dus steeds belangrijker en vraagt betere oplossingen. Zoals deskundigen Katryna Dow en Chris Wood het duidelijk formuleerden: “We moeten naar een ‘API of me’. Ik ben eigenaar van mijn digitale identiteit en persoonlijke gegevens. Ik wil een veilig beheer van die informatie. Ik wil beslissen aan wie ik die gegevens laat zien en waar ik een kopie wil achterlaten.”

De Cyber Security Raad heeft recent een advies uitgebracht aan het kabinet: “Naar een veilig eID-stelsel”. In dat advies wordt de digitale identiteit als cruciale factor gedefinieerd voor een veilige, betrouwbare en vertrouwde digitale infrastructuur. Daarvoor is intensieve samenwerking nodig tussen de publieke en private sector, onder toezicht van de overheid:

  • definiëren van een formele digitale identiteit, die net als het fysieke paspoort overal toegang geeft en adequaat beveiligd is. Overheidsinitiatieven als DigiD en vergelijkbare initiatieven uit het bedrijfsleven als iDIN moeten dan worden samengevoegd
  • één of een beperkt aantal onafhankelijke uitvoeringsorganisaties die digitale identiteiten op veilige wijze beheren en het dagelijks gebruik van digitale identiteiten ondersteunen (vergelijkbaar met DigiD en iDIN)
  • samenwerking met fintechs en bigtechs om de benodigde technologie te integreren
  • aangepaste wet- en regelgeving rond digitale identiteiten, in het verlengde van de privacywetgeving
  • stimuleren van het geschikt maken van apps en websites van bedrijven om die formele identiteit te kunnen gebruiken
  • permanente intensieve voorlichting aan consumenten en bedrijven. 

In de pre-digitale wereld hebben we decennia nodig gehad voor het ontwikkelen van de noodzakelijke wet- en regelgeving, een adequaat wegen- en spoornetwerk, betrouwbare identificatiemiddelen als paspoorten, ‘genoeg blauw op straat’, voorlichting, etc. Zoveel tijd hebben we niet om de digitale wereld op orde te krijgen. Tools en apps om van het digitale leven te genieten zijn of komen er in overvloed. Digitale bescherming krijgt nog te weinig aandacht. Wel op het gebied van wet- en regelgeving (bijvoorbeeld de Algemene Verordening Gegevensbescherming), maar nog te weinig op het gebied van samenhangende tooling voor grootschalig dagelijkse gebruik.

Er is nog veel te doen voordat de benodigde digitale infrastructuur beschikbaar is. Veel elementen zijn er al, maar overheid en bedrijfsleven zullen intensief moeten samenwerken om snel forse stappen te maken. Want het gebruik van internet neemt nog steeds exponentieel toe, met steeds meer slecht beveiligde digitale identiteiten.

Een artikel van Douwe van der Meer, projectmanager en consultant bij Voogt Pijl & Partners.


×
×
Accenture ACE Company Adaptif Adlasz Adviesgroep Novius AevesBenefit Anderson MacGyver Andersson Elffers Felix Annalise Arlande Arthur D. Little AT Osborne Atos Consulting Bain & Company Baker Tilly BCG Platinion BDO BearingPoint Berenschot Best Value Group Bewegin Bisnez BlinkLane Consulting BluPoint BMC Boer & Croon Management BOLD Bolster Bostec Boston Consulting Group Bright & Company | People Strategy Buitenhuis Advies buro C5 Bvolve Capgemini Invent Cegeka Consulting Cmotions COMATCH Conclusion Count & Cooper CPMview De Issuemakers De Kleine Consultant Deloitte Delta Capita Digital Power Dimensys Ecorys Eden McCallum Energyprofs Enigma Consulting Eurekon EY EY-Parthenon Finavista Finext First Consulting Flowant flowresulting Fronteer FTE Groep FTE Improvery Galan Groep GalanNXT Grant Thornton Groenewout Gupta Strategists Gwynt Hamstra & Partners Hogenhouck m&a Hospitality Group Hot ITem House of Performance IG&H Improven InContext innergo INNOPAY Intermedius ITDS Business Consultants Itility JBR JBR Interim Executives Kearney Kirkman Company Korn Ferry KplusV KPMG Kruger Kurtosis KWINK groep Leeuwendaal M3 Consultancy Magnus Marktlink Mazars McKinsey & Company Mercer Merkle METRI Mitopics MLC Mobilee Möbius Monitor Deloitte Morgens MSR Consulting Group NEWCRAFT Node1 Oliver Wyman OrangeX Ordina Organize Agile p2 PA Consulting Group Paul Postma Marketing Consultancy People Change PNO Consultants Projective Protiviti Proven Partners PwC Qhuba Quint Quintop Raad van Toekomst RedFoxBlue ResidentieProfs RGP Rijnconsult Riverwise Roland Berger Salvéos Schaekel & Partners SeederDeBoer Sia Partners Significant Groep Simon-Kucher & Partners SiRM Solid Professionals SOLVE Consulting SparkOptimus Staffing MS Strategy& Student Consultancy Group Summiteers Supply Value Symbol Synechron The Next Organization Trevian Turner TWST TwynstraGudde UMS Group UniPartners UPD Van Oers Corporate Finance Vanberkel Professionals Varrlyn Vasco Consult Vintura VODW Volt Strategy Voogt Pijl & Partners Wielinq WIN Xebia Yellowtail YGroup YNNO Young Advisory Group YourConnector Zanders Zestgroup